Microsoftovo upozorenje: Ovaj neobičan napad zlonamjernog softvera upravo je dodao neke nove trikove

Microsoftov tim za sigurnosnu inteligenciju ponovno diže uzbunu zbog grupe za krađu identiteta i zlonamjernog softvera pozivnog centra iza onoga što naziva BazaCall.

"Pratimo više aktivnih kampanja putem e-pošte koje koriste BazarLoader za isporuku širokog raspona sadržaja. Čini se da su ove kampanje različite, ali dijele zajedničku osobinu: njihove taktike pokušavaju dovesti u pitanje konvencionalna sigurnosna rješenja za e-poštu i najbolju praksu", naveo je Microsoft u tvitu.

Kampanja 'Stolen Images' Bazarloader koristi lažne e-mailove obrasca za kontakt za kršenje autorskih prava i zlonamjerne datoteke koje se pretvaraju da sadrže "ukradene slike" kako bi prevarile korisnike da preuzmu zlonamjerni softver.

VIDJETI: Programeri zlonamjernog softvera okreću se 'egzotičnim' programskim jezicima kako bi osujetili istraživače

Druga tehnika je prevariti potencijalne žrtve da otvore e-poštu iz izvora za koje misle da su pouzdani.

"Nedavna kampanja dovodi u pitanje najbolju praksu otvaranja e-pošte samo od poznatih kontakata: ona koristi ugrožene račune za otimanje niti e-pošte i prilaganje Word dokumenta u ZIP-u zaštićenom lozinkom datoteka. Dokument ima makronaredbu koja pokreće MSHTA za preuzimanje BazarLoadera," rekao je Microsoft.

Microsoft je prvi digao uzbunu o BazaCallu u lipnju zbog svojih neobičnih i relativno skupih tehnika, koje su se oslanjale na phishing e-poruke s tvrdnjama o isteklim probnim pretplatama i nadolazećim plaćanjima.

E-poruke se ističu jer ne sadrže poveznice na web stranice: umjesto toga, e-poruke potiču potencijalne mete da kontaktiraju pozivni centar u kojem trenutku operater daje upute za instaliranje zlonamjernog softvera pod krinkom pomoći u poništavanju lažnog softvera plaćanje.

Instalirani backdoor omogućuje akterima BazaCalla da instaliraju ransomware, uključujući ali ne ograničavajući se na Ryuk i Conti.

Njegove su taktike značajne jer ne koriste veze za krađu identiteta niti šalju zlonamjerne privitke, što pomaže u izbjegavanju tradicionalnih sustava za filtriranje i otkrivanje e-pošte.

Prva točka kontakta je operater pozivnog centra koji razgovara o pretplati koja ističe u e-poruci. Operater zatim preporučuje žrtvi da posjeti web stranicu na kojoj navodno može otkazati pretplatu kako bi izbjegla buduće mjesečne naknade.

"BazarLoader je zlonamjerni softver u prvoj fazi koji omogućuje udaljenim napadačima da steknu kontrolu nad pogođenim uređajem, izvuku podatke i instaliraju korisni sadržaj ransomwarea – posebice Conti. Višekomponentna i izbjegavajuća priroda ovih napada zahtijeva sveobuhvatnu zaštitu", napominje Microsoft.

VIDJETI: Ovaj novi phishing napad 'luđi je nego inače', upozorava Microsoft

U GitHub post, Microsoft ističe da grupa koristi materijal zaštićen autorskim pravima kao mamac.

BazaCall nije nova prijetnja. Sigurnosna tvrtka FireEye podigla je uzbunu zbog BazarLoadera u prosincu, a prije toga TrendMicro je primijetio širenje kampanje bazarLoader backdoor i Ryuk ransomware.