Microsoft pojačava upozorenja o očiglednom napadaču niske tehnologije koji usvaja sofisticiranije tehnike.
Microsoftov tim za sigurnosnu inteligenciju ponovno diže uzbunu zbog grupe za krađu identiteta i zlonamjernog softvera pozivnog centra iza onoga što naziva BazaCall.
"Pratimo više aktivnih kampanja putem e-pošte koje koriste BazarLoader za isporuku širokog raspona sadržaja. Čini se da su ove kampanje različite, ali dijele zajedničku osobinu: njihove taktike pokušavaju dovesti u pitanje konvencionalna sigurnosna rješenja za e-poštu i najbolju praksu", naveo je Microsoft u tvitu.
ZDNET preporučuje
Najbolje cyber osiguranje
Industrija cyber osiguranja vjerojatno će postati mainstream i predstavlja jednostavan trošak poslovanja. Evo nekoliko opcija koje treba razmotriti.
Čitaj SADKampanja 'Stolen Images' Bazarloader koristi lažne e-mailove obrasca za kontakt za kršenje autorskih prava i zlonamjerne datoteke koje se pretvaraju da sadrže "ukradene slike" kako bi prevarile korisnike da preuzmu zlonamjerni softver.
VIDJETI: Programeri zlonamjernog softvera okreću se 'egzotičnim' programskim jezicima kako bi osujetili istraživače
Druga tehnika je prevariti potencijalne žrtve da otvore e-poštu iz izvora za koje misle da su pouzdani.
"Nedavna kampanja dovodi u pitanje najbolju praksu otvaranja e-pošte samo od poznatih kontakata: ona koristi ugrožene račune za otimanje niti e-pošte i prilaganje Word dokumenta u ZIP-u zaštićenom lozinkom datoteka. Dokument ima makronaredbu koja pokreće MSHTA za preuzimanje BazarLoadera," rekao je Microsoft.
Microsoft je prvi digao uzbunu o BazaCallu u lipnju zbog svojih neobičnih i relativno skupih tehnika, koje su se oslanjale na phishing e-poruke s tvrdnjama o isteklim probnim pretplatama i nadolazećim plaćanjima.
E-poruke se ističu jer ne sadrže poveznice na web stranice: umjesto toga, e-poruke potiču potencijalne mete da kontaktiraju pozivni centar u kojem trenutku operater daje upute za instaliranje zlonamjernog softvera pod krinkom pomoći u poništavanju lažnog softvera plaćanje.
Instalirani backdoor omogućuje akterima BazaCalla da instaliraju ransomware, uključujući ali ne ograničavajući se na Ryuk i Conti.
Njegove su taktike značajne jer ne koriste veze za krađu identiteta niti šalju zlonamjerne privitke, što pomaže u izbjegavanju tradicionalnih sustava za filtriranje i otkrivanje e-pošte.
Prva točka kontakta je operater pozivnog centra koji razgovara o pretplati koja ističe u e-poruci. Operater zatim preporučuje žrtvi da posjeti web stranicu na kojoj navodno može otkazati pretplatu kako bi izbjegla buduće mjesečne naknade.
"BazarLoader je zlonamjerni softver u prvoj fazi koji omogućuje udaljenim napadačima da steknu kontrolu nad pogođenim uređajem, izvuku podatke i instaliraju korisni sadržaj ransomwarea – posebice Conti. Višekomponentna i izbjegavajuća priroda ovih napada zahtijeva sveobuhvatnu zaštitu", napominje Microsoft.
VIDJETI: Ovaj novi phishing napad 'luđi je nego inače', upozorava Microsoft
U GitHub post, Microsoft ističe da grupa koristi materijal zaštićen autorskim pravima kao mamac.
BazaCall nije nova prijetnja. Sigurnosna tvrtka FireEye podigla je uzbunu zbog BazarLoadera u prosincu, a prije toga TrendMicro je primijetio širenje kampanje bazarLoader backdoor i Ryuk ransomware.
Sigurnost
- 8 navika iznimno sigurnih radnika na daljinu
- Kako pronaći i ukloniti špijunski softver s telefona
- Najbolje VPN usluge: Kako se uspoređuju prvih 5?
- Kako saznati jeste li uključeni u povredu podataka -- i što učiniti sljedeće