Gefälschte Callcenter, die Benutzer zur Installation von Ransomware und Datendieben verleiten

  • Eine laufende bösartige Kampagne, die gefälschte Callcenter einsetzt, wurde entdeckt, um Opfer dazu zu verleiten, Malware herunterzuladen, die Daten exfiltrieren und Ransomware auf infizierten Systemen installieren kann.

    Die Angriffe mit dem Namen “BazaCall” verzichten auf herkömmliche Social-Engineering-Techniken, die sich auf betrügerische URLs und mit Malware versehene Dokumente stützen, und verwenden stattdessen eine vishing-ähnliche Methode, bei der den Zielpersonen E-Mail-Nachrichten zugesandt werden, in denen sie über eine bevorstehende Abonnementgebühr informiert werden, falls sie nicht eine bestimmte Telefonnummer anrufen.

    Indem die Empfänger dazu verleitet werden, die Nummer anzurufen, werden die ahnungslosen Opfer mit echten menschlichen Mitarbeitern in den betrügerischen Callcentern verbunden, die ihnen dann Anweisungen zum Herunterladen der BazaLoader-Malware geben.

    [Blocked Image: https://thehackernews.com/images/-UHcDw0TZuOc/YMt1nZpazaI/AAAAAAAA4Qs/d1jlOI8xheYWIFx_O8QJFzDxJI5tRuD7ACLcBGAsYHQ/s300-e100/free-ad-8-300.png]

    BazaLoader ist eine C++-Downloader-Malware mit der Fähigkeit, verschiedene Arten von Schadprogrammen auf infizierten Computern zu installieren, einschließlich der Bereitstellung von Ransomware und anderer Malware sowie des Diebstahls sensibler Daten von den betroffenen Systemen. BazaLoader-Kampagnen wurden erstmals im April 2020 beobachtet und werden von mehreren Bedrohungsakteuren genutzt. Sie dienen häufig als Lader für schädliche Malware, darunter Ryuk und Conti Ransomware.

    [Blocked Image: https://thehackernews.com/images/-VpBxr6xhyBc/YQOP-n5IcpI/AAAAAAAADYw/zp9C2tY4EA8toaaqPNbKPMlLDNRS4wCfwCLcBGAsYHQ/s728-e1000/fraud-call.jpg]BazaCall-Angriffsablauf

    “Angriffe, die von der BazaCall-Bedrohung ausgehen, können sich schnell innerhalb eines Netzwerks bewegen, umfangreiche Datenexfiltrationen und den Diebstahl von Anmeldeinformationen durchführen und innerhalb von 48 Stunden nach der ersten Kompromittierung Ransomware verbreiten”, so das Microsoft 365 Defender Threat Intelligence Team in einem am Donnerstag veröffentlichten Bericht.

    [Blocked Image: https://thehackernews.com/images/-azy2o-jUy8I/YLy9OO3scVI/AAAAAAAA4BY/75hsq3eOBOQsJbLGxKzF4tx3ZGV010RVwCLcBGAsYHQ/s728-e100/ransomware_728.jpg]

    Da die Malware nicht über einen Link oder ein Dokument im Nachrichtentext selbst verbreitet wird, bieten die Köder einen zusätzlichen Schwierigkeitsgrad, der es den Angreifern ermöglicht, Phishing- und Malware-Erkennungssoftware zu umgehen. Diese Kampagne ist Teil eines umfassenderen Trends, bei dem mit BazaLoader verbundene Kriminelle Callcenter – deren Betreiber anscheinend keine englischen Muttersprachler sind – als Teil einer komplizierten Angriffskette nutzen.

    [Blocked Image: https://thehackernews.com/images/-upcsRcmkxn8/YQOQcwjyT5I/AAAAAAAADY4/TUSMZTs_n_Ira1bPkPeslVyJk1jeEiDRwCLcBGAsYHQ/s728-e1000/fraud-call-2.jpg]Aktivitäten nach dem Kompromiss

    Anfang Mai dieses Jahres deckten Palo Alto Networks und Proofpoint einen ausgeklügelten Infektionsmechanismus auf, bei dem gefälschte E-Books (World Books) und Film-Streaming-Abonnementdienste (BravoMovies) als Sprungbrett genutzt wurden, um eine manipulierte Excel-Tabelle mit der BazaLoader-Malware zu liefern. Der jüngste Angriff, der von Microsoft aufgedeckt wurde, unterscheidet sich insofern nicht von den anderen, als dass der Callcenter-Agent als Vermittler dient und den Anrufer auffordert, eine Rezept-Website (“topcooks[.]us”) zu navigieren, um das nicht existierende Probeabonnement zu kündigen.

    “Die Verwendung eines weiteren menschlichen Elements in der Angriffskette von BazaCall durch die oben erwähnte Steuerung über die Tastatur macht diese Bedrohung noch gefährlicher und ausweichender als traditionelle, automatisierte Malware-Angriffe”, so die Forscher. “Die BazaCall-Kampagnen zeigen, wie wichtig eine domänenübergreifende Optik und die Fähigkeit zur Korrelation von Ereignissen für den Aufbau einer umfassenden Verteidigung gegen komplexe Bedrohungen sind.”

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com