Il team di sicurezza di Microsoft ha indagato su una campagna dannosa in corso utilizzando call center fraudolenti per indurre gli utenti a scaricare BazaLoader (noto anche come BazarLoader) il malware.
Chiamato BazaCall, la campagna sembra essere più pericolosa di quanto inizialmente sospettato. La ragione di questo crescente livello di minaccia è che, oltre ad avere capacità backdoor, BazarLoader garantisce agli aggressori remoti il "controllo pratico della tastiera sul dispositivo di un utente interessato". Questo accesso consente ai criminali informatici di eseguire una "compromissione rapida della rete".
“Nella nostra osservazione, gli attacchi provenienti dalla minaccia BazaCall potrebbero muoversi rapidamente all'interno di una rete, condurre un'estesa esfiltrazione di dati e furto di credenziali, e distribuire ransomware all'interno 48 ore del compromesso iniziale,"Microsoft ha detto nel loro rapporto.
Il malware BazaLoader/BazarLoader
Come abbiamo già detto prima, una parte importante di il Trojan BazarLoader operazioni è l'avvio della sua procedura di raccolta dati. Il malware può essere incaricato di raccogliere diversi tipi di informazioni, tutto relativo a dati che possono essere rubati dagli hacker. Potrebbe essere un report dei componenti hardware installati, valori del sistema operativo del singolo computer, e dati personali dell'utente.
L'uso di tali informazioni può portare alla generazione di un identificatore univoco per ogni host interessato. Avendo accesso ai dati personali dell'utente, gli hacker possono utilizzarlo per scopi di ricatto o furto di identità. I dati possono essere raccolti anche dai browser Web installati dall'utente.
Come un malware Trojan, il malware avvierà un'operazione di controllo remoto: il motore stabilisce una connessione sicura a un server controllato da hacker. Ciò consente ai criminali informatici di assumere il pieno controllo delle macchine vittime, dirottare tutti i file disponibili, e spiare le vittime in tempo reale.
Le campagne dannose di BazaCall
“Le campagne BazaCall rinunciano a collegamenti o allegati dannosi nei messaggi di posta elettronica a favore di numeri di telefono che i destinatari sono indotti a chiamare,"Microsoft ha scoperto. Questa tecnica è simile a Vishing e truffe di supporto tecnico con chiamate a freddo in cui le vittime vengono avvicinate al telefono. Tuttavia, nel caso di BazaCall, il potenziale, la vittima mirata deve comporre il numero.
Una volta fatto questo, la vittima è collegata a un truffatore all'altro capo della linea, fornendo loro istruzioni dettagliate per l'installazione di malware. Questo è un altro esempio di un trucco di ingegneria sociale di successo. Ciò che rende la campagna BazaCall particolarmente complicata è il fatto che, a causa della mancanza di evidenti elementi dannosi nei metodi di consegna, i modi tipici di rilevare spam e email di phishing sono resi inefficaci.
Come viene avviato l'attacco BazaCall??
Secondo i risultati di Microsoft, la campagna viene avviata da un'e-mail che utilizza vari trucchi di ingegneria sociale per indurre la vittima a chiamare un numero di telefono specifico. L'e-mail può informare la vittima di un abbonamento di prova in scadenza o di una carta di credito da addebitare per la versione premium dell'abbonamento.
"Ogni ondata di e-mail nella campagna utilizza un diverso "tema" di abbonamento che dovrebbe essere in scadenza, come un servizio di fotoritocco o un abbonamento a un sito web di cucina e ricette. In una campagna più recente, l'e-mail elimina l'angolo di prova dell'abbonamento e si pone invece come una ricevuta di conferma per una licenza software acquistata," Microsoft ha detto.
È interessante notare che le e-mail di BazaCall non includono un collegamento o un allegato nel corpo del messaggio. Piuttosto che essere attirati a fare clic su un collegamento, la vittima è istruita a chiamare un numero di telefono in caso di domande o dubbi.
"Questa mancanza di elementi dannosi tipici, collegamenti o allegati, aggiunge un livello di difficoltà nel rilevamento e nella ricerca di queste e-mail. In aggiunta, la messaggistica del contenuto dell'e-mail potrebbe anche aggiungere un'aria di legittimità se l'utente è stato accuratamente addestrato per evitare le tipiche e-mail di phishing e malware ma non è stato insegnato a diffidare delle tecniche di ingegneria sociale,” ha sottolineato il gigante del software.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: