Blog



Ligações por telefone induzem usuários instalarem o ransomware BazaCall

Phony Call Centers

Uma campanha maliciosa em andamento que emprega call centers falsos foi encontrada para induzir as vítimas a baixar malware capaz de exfiltrar dados, bem como implantar ransomware em sistemas infectados.

Os ataques apelidados de “BazaCall” evitam as técnicas tradicionais de engenharia social que dependem de URLs desonestos e documentos com malware em favor de um método semelhante ao de vishing em que os usuários direcionados recebem mensagens de e-mail informando-os de uma cobrança de assinatura futura, a menos que liguem para um determinado número de telefone.

Ao enganar os destinatários para que liguem para o número, as vítimas inocentes são conectadas a uma operadora humana real em um call center fraudulento, que então lhes fornece instruções para baixar o malware BazaLoader.

BazaLoader (também conhecido como BazarBackdoor) é um downloader baseado em C ++ com a capacidade de instalar vários tipos de programas maliciosos em computadores infectados, incluindo a implantação de ransomware e outro malware para roubar dados confidenciais de sistemas vitimados. Observadas pela primeira vez em abril de 2020, as campanhas do BazaLoader foram usadas por vários agentes de ameaças e frequentemente servem como um payload para malware, como Ryuk e Conti ransomware.

BazaCall Attack Flow
1. É enviado um e-mail para a vítima informando um número do call center sobre a divergência na fatura.
2. O pessoal do call center direciona o usuário a efetuar um download malicioso que há um macro habilito no Excel.
3. O usuário abre o documento malicioso que há um macro habilitado na qual resulta o download do BazaLoader.
4. BazaLoader faz a verificação e estabelece conexão com o Cobalt Strike.
5. BazaLoaders disponibiliza o acesso do teclado da vítima para o atacante.

“Os ataques da ameaça BazaCall podem se mover rapidamente dentro de uma rede, conduzindo uma extensa transferência de dados e roubo de credenciais, distribuindo o ransomware dentro de 48 horas após o comprometimento inicial”, disse o Microsoft 365 Defender Threat Intelligence Team em um relatório publicado na quinta-feira.

Como o malware não é distribuído por meio de um link ou documento dentro do próprio corpo da mensagem, as iscas adicionam um nível de dificuldade que permite que os invasores evitem o software de detecção de phishing e malware. Esta campanha faz parte de uma tendência mais ampla em que criminosos afiliados ao BazaLoader usam call centers – as operadoras aparentemente não falantes nativos de inglês – como parte de uma intrincada cadeia de ataques.

Post-Compromise Activities
1. Atacante obtém acesso remoto ao computador da vitima.
2. Procura por privilégios do usuário, informações de domínio e compartilhamento.
3. Escaneia por dispositivos na rede.
4. Rouba as credenciais do LSASS
5. Utiliza o Cobalt Strike para procurar alvos na rede
6. Compacta os arquivos utilizando 7zip e transfere utilizando rclone.
7. Copia a base de dados do Active Directory
8. Propaga o ransomware para os outros dispositivos da organização.

No início de maio, pesquisadores revelaram um mecanismo de infecção elaborado que aproveitou sites associados a e-books falsos (World Books) e serviços de assinatura de streaming de filmes (BravoMovies) como um trampolim para entregar planilhas Excel manipuladas contendo o malware BazaLoader. O último ataque divulgado pela Microsoft não é diferente, pois o agente do call center atua como um canal, incitando pessoas a navegar para um site de receitas (“topcooks [.] us”) para cancelar a assinatura de teste inexistente.

“O uso de outro elemento humano na cadeia de ataque do BazaCall por meio do controle manual do teclado mencionado acima torna essa ameaça mais perigosa e mais evasiva do que os tradicionais ataques de malware automatizados”, disseram os pesquisadores. “As campanhas do BazaCall destacam a importância da óptica entre domínios e a capacidade de correlacionar eventos na construção de uma defesa abrangente contra ameaças complexas.”

REFERÊNCIAS:

https://thehackernews.com/2021/07/phony-call-centers-tricking-users-into.html

https://unit42.paloaltonetworks.com/bazarloader-malware/

https://www.proofpoint.com/us/blog/threat-insight/bazaflix-bazaloader-fakes-movie-streaming-service

https://www.microsoft.com/security/blog/2021/07/29/bazacall-phony-call-centers-lead-to-exfiltration-and-ransomware/





Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Parceiros

Av. Dom João VI, 11, Edf. Seta Empresarial, 2º Andar, Brotas | Cep: 40.285-000 | Salvador - Bahia - Brasil
Tel.: 71 3018-7381 / 3018-7381 www.xlogic.com.br - sac@xlogic.com.br

XLOGIC. © 2021. Todos os direitos reservados.