BazaLoader gibt sich als Film-Streaming-Dienst aus

Cyber Security News

Die Website für “BravoMovies” bietet gefälschte Filmplakate und eine FAQ mit einer manipulierten Excel-Tabelle zum “Abbestellen” des Dienstes, lädt aber nur Malware herunter.

Es gibt einen neuen, gefälschten Film-Streaming-Dienst in der Stadt namens BravoMovies, und die Angebote sind völliger Müll. Trotz der hübschen Bilder und lustig klingenden Titel bietet er nichts zum Herunterladen außer BazaLoader-Malware.

BazaLoader ist ein Loader, der verwendet wird, um Ransomware oder andere Arten von Malware zu installieren und sensible Daten von den betroffenen Systemen zu stehlen.

Am Mittwoch erklärten die Forscher von Proofpoint in einem Bericht, dass sie BazaLoader erstmals im April 2020 beobachtet haben. Mehrere Bedrohungsakteure nutzen den Downloader, der in C++ geschrieben ist, um Malware wie Ryuk und Conti Ransomware zu laden. Außerdem sind die Forscher von Proofpoint überzeugt, dass es eine “starke Überschneidung” zwischen der Verbreitung und den Aktivitäten nach der Ausnutzung von BazaLoader und den Bedrohungsakteuren hinter der Malware The Trick, auch bekannt als Trickbot, gibt.

Die BravoMovies-Kampagne verwendet eine ausgeklügelte Infektionskette, die zu den Partnern von BazaLoader passt, die ihre Opfer dazu überreden, durch eine Reihe von Reifen zu springen, um die Malware-Nutzlasten auszulösen. Sie beginnt mit einer E-Mail, in der den Empfängern mitgeteilt wird, dass ihre Kreditkarten belastet werden, wenn sie ihr Abonnement für den Dienst nicht kündigen – ein Abonnement, für das sie sich natürlich nie angemeldet haben.

[Blocked Image: https://alltechnews.de/daten/2021/05/BazaLoader-gibt-sich-als-Film-Streaming-Dienst-aus.png]

Infektionskette. Quelle: Proofpoint

Einige der Betreff-Header, die als Köder für die Falle verwendet wurden: Ihre Probezeit M0012064753012345 wird bald ablaufen. Zum Glück haben Sie sich entschieden, bei uns zu bleiben! Die Demophase ist abgelaufen! Ihr Konto #M0272028060812345 wird automatisch auf den Premium-Plan übertragen!

Die E-Mail enthält eine Telefonnummer für eine Kundendienstleitung eines Call-Centers, in dem lebende Menschen bereitstehen, um Anrufer auf eine Website zu leiten, auf der sie angeblich den gefälschten Film-Streaming-Dienst kündigen können. Die Website leitet diejenigen, die auf den Betrug hereinfallen, jedoch dazu an, stattdessen eine mit Fallen versehene Excel-Tabelle herunterzuladen, die Makros auslöst, die BazaLoader herunterladen.

[Blocked Image: https://alltechnews.de/daten/2021/05/1622051167_181_BazaLoader-gibt-sich-als-Film-Streaming-Dienst-aus.png]

Ursprüngliche BazaLoader-E-Mail, die sich als Entertainment-Streaming-Dienst tarnt. Quelle: Proofpoint

Die Forscher von Proofpoint schreiben, dass BravoMovies die Scharade perfekt beherrscht. Der gefälschte Film-Streaming-Dienst sieht genauso aus wie ein legitimer Film- und TV-Streaming-Dienst, komplett mit gefälschten Filmtiteln als Landing Page. Tatsächlich haben die Bedrohungsakteure gefälschte Plakate manipuliert. “Die Bedrohungsakteure verwendeten gefälschte Filmplakate, die sie aus verschiedenen Open-Source-Ressourcen bezogen, darunter eine Werbeagentur, das kreative soziale Netzwerk Behance und das Buch ‘How to Steal a Dog'”, so die Forscher.

Die Call-Center-Betreiber weisen ihre Zielpersonen an, die BravoMovies-Website zu besuchen, die Seite mit den häufig gestellten Fragen aufzurufen und den Anweisungen zur Abmeldung über die Seite “Subscribtion” zu folgen. Als nächstes werden sie angewiesen, eine Excel-Tabelle herunterzuladen.

Das Excel-Blatt enthält die Makros, die den BazaLoader herunterladen, wenn er aktiviert ist. Die Forscher von Proofpoint haben die zweite Stufe der Nutzlast in dieser Kampagne noch nicht beobachtet, sagten sie.

Ein Ringey-Dingey

Dies ist nicht das erste Mal, dass Proofpoint kompliziert zusammengesetzte BazaLoader-E-Mail-Bedrohungskampagnen gesehen hat, die ein beträchtliches Maß an menschlicher Interaktion erforderten – einschließlich telefonischer Kundendienstmitarbeiter -, um den Malware-Download auszulösen.

Die Sicherheitsforscher haben die Call-Center- oder Live-Mensch-Methode “BazarCall” getauft.

Der erste derartige Einsatz von BazaLoad wurde von den Forschern von Proofpoint im Februar 2021 entdeckt, als eine Malware-Attacke vor dem Valentinstag Köder für gefälschte Blumen- und Dessousgeschäfte lieferte. Sie haben auch gesehen, wie es in einer Kampagne für pharmazeutische Abo-Dienste verwendet wurde.

Kompliziertere Malware-Kampagne = bessere Umgehung

Die Forscher von Proofpoint beobachteten die BravoMovies-Kampagne erstmals Anfang des Monats. Sie stellten fest, dass ihre komplizierte Natur auf eine kontraintuitive Weise erfolgreich ist. Diese Kampagne “zeigt nämlich eine umgekehrt proportionale Beziehung zwischen erfolgreichen Infektionsraten und der Aufforderung, komplizierte Schritte auszuführen – je mehr Schritte vom Benutzer verlangt werden, desto geringer ist die Wahrscheinlichkeit, dass er die Angriffskette abschließt”, erklärten sie. “Die von den Bedrohungsakteuren in dieser und ähnlichen Kampagnen verwendeten Techniken sind zwar kontraintuitiv, helfen aber, vollautomatische Erkennungssysteme für Bedrohungen zu umgehen.”

Mit diesen Techniken können Bedrohungsakteure beispielsweise an Diensten vorbeischlüpfen, die nur bösartige Links oder E-Mail-Anhänge erkennen, so die Forscher. Ähnliche mehrstufige Infektionsketten mit reichlich Interaktion seitens der Ziele wurden für die Verbreitung von Trickbot verwendet.

Proofpoint prognostiziert, dass die Bedrohungsakteure, die hinter BazaLoader und Trickbot stecken, diese sorgfältig ausgearbeiteten Techniken auch in Zukunft verwenden werden.

Ausnutzen der Post-COVID-Cancel-itis

Ähnlich wie Dessous und Blumen ein Äquivalent zu den unwiderstehlichen Pheromonen sind, die um den Valentinstag herum in den Posteingang wehen, spielt das Abbestellen von Streaming-Diensten auf einen Trend an, den die Forscher von Proofpoint festgestellt haben: Nutzer kündigen Online-Unterhaltungsangebote, nachdem die Branche während der Pandemie einen Wachstumsschub erlebt hat.

“Die Verwendung von Unterhaltungs-Abonnementthemen kann eine zeitgemäße und effektive Methode sein, um Benutzer davon zu überzeugen, sich mit den E-Mail-Inhalten und den nachfolgenden bösartigen Dokumenten zu beschäftigen”, heißt es in dem Bericht weiter. “Während der COVID-19-Pandemie im Jahr 2020 stiegen die Abonnements für Online-Streaming-Dienste sprunghaft an und übertrafen im vergangenen Jahr weltweit eine Milliarde Nutzer. Laut den jüngsten Daten aus dem Jahr 2021 nutzen die Verbraucher jedoch immer weniger Dienste, während sie sich durch kostenlose Abonnements wälzen und diese nach Ablauf der Probezeit kündigen. BazaLoader-Bedrohungsakteure machen sich diesen Trend im menschlichen Verhalten in der identifizierten Kampagne zunutze.”

Laden Sie unser exklusives KOSTENLOSES Threatpost Insider eBook, ” 2021: The Evolution of Ransomware”, um Ihre Cyber-Abwehrstrategien gegen diese wachsende Geißel zu verfeinern. Wir gehen über den Status quo hinaus und decken auf, was als Nächstes auf Ransomware und die damit verbundenen neuen Risiken zukommt. Lesen Sie die ganze Geschichte und DOWNLOADen Sie das eBook jetzt – bei uns!

Einige Teile dieses Artikels stammen aus:
threatpost.com