Microsoft varnar för skadlig programvara som sprids via callcenter

0 Shares

I korthet: Brottslingar använder en mängd olika metoder för att distribuera skadlig kod, inklusive, i vissa fall, callcenter. Microsofts cybersäkerhetsforskare har varnat för en grupp som använder tekniken för att sprida BazarLoader malware loader.

Ett inlägg av Palo Alto Networks Brad Duncan (via ZDNet) förklarar att BazarLoader ger bakdörråtkomst till en infekterad Windows-värd. När brottslingar har laddats ner använder de bakdörren för att skicka uppföljande skadlig programvara, till exempel ransomware, skanna miljön och utnyttja andra utsatta värdar i nätverket.

De bakom BazarLoader använder en mängd olika distributionsmetoder. I februari i år började forskare rapportera en callcenter-baserad teknik, kallad BazarCall, som utnyttjar de mindre tekniskt kunniga.

Processen börjar med att ett offer får ett e-postmeddelande som hävdar att en prenumerationsprenumeration som de registrerade sig för har upphört att gälla och deras kreditkort debiteras automatiskt såvida de inte ringer det inkluderade callcenter-numret för att avbryta suben.

Den som ringer numret kommer att skickas till en falsk företagswebbplats och uppmanas att ladda ner en Excel-fil. Call center-operatören instruerar sedan offret att aktivera makron i filen, så att maskinen kan infekteras med BazarLoader, vid vilken tidpunkt målet informeras om att de har avslutats.

Microsoft Security Intelligence twittrade att det spårar BazarCall-skadlig kampanj och varnar människor för att vara försiktiga. Det står också att det har observerat angriparna som använder Cobalt Strike-penetrationstestningssatser för att stjäla referenser, inklusive Active Directory (AD) -databasen och exfiltrera data med rclone.

“Bristen på skadliga element i e-postmeddelandena kan vara en utmaning för upptäckt. Microsoft 365 Defenders synlighet över domäner gör det möjligt för slutpunktssignaler att informera Microsoft Defender för Office 365-skydd mot e-postmeddelanden, vilket säkerställer ett omfattande försvar mot denna attack”, förklarar Microsofts säkerhetsteam .

Microsoft har skapat en GitHub-sida som ger mer inblick i BazarCall som uppdateras när den fortsätter att spåra skadlig programvara.

0 Shares