Η Microsoft προειδοποιεί ότι η «επιχείρηση» του BazarCall (ή Bazacall) malware είναι πιο επικίνδυνη από ό,τι είχε εκτιμηθεί, καθώς οι αρχικές επιθέσεις μπορούν να οδηγήοσυν σε ransomware επιθέσεις εντός 48 ωρών.
Η χειριστές του malware έχουν στοχεύσει χρήστες του Office 365 με phishing email που αναφέρεται στη «λήξη» δοκιμαστικών συνδρομών, για να τους εξαπατήσουν ώστε να καλέσουν ένα τηλεφωνικό κέντρο και να συνομιλήσουν με έναν χειριστή, ο οποίος στη συνέχεια προσπαθεί να εξαπατήσει το θύμα να εγκαταστήσει το Bazarcall malware.
Η ομάδα του Microsoft 365 Defender Threat Intelligence επεσήμανε την εν λόγω συμμορία κυβερνοεγκλήματος τον Ιούνιο, ενώ σε ένα νέο post περιγράφει πως είναι μια πιο επικίνδυνη απειλή από ό,τι είχε αρχικά εκτιμηθεί, δεδομένου ότι επιτρέπει στους επιτιθέμενους να διανείμουν ransomware ή να κλέψουν δεδομένα μέσα σε μόλις 48 ώρες από τη «μόλυνση».
Διαβάστε επίσης: Safe Links: Η νέα προστασία του Microsoft Teams κατά του phishing
Επιπλέον, η Microsoft ανέφερε τα ακόλουθα: «Εκτός από τις δυνατότητες backdoor, το BazaLoader payload που διανέμεται σε αυτές τις κακόβουλες εκστρατείες, δίνει επίσης σε έναν απομακρυσμένο εισβολέα hands-on-keyboard έλεγχο στη συσκευή ενός επηρεαζόμενου χρήστη, που επιτρέπει τη γρήγορη παραβίαση δικτύου. Κατά την παρατήρησή μας, οι επιθέσεις που προέρχονται από την απειλή του BazarCall θα μπορούσαν να κινηθούν γρήγορα μέσα σε ένα δίκτυο, να εκτελέσουν εκτεταμένη διαγραφή δεδομένων και κλοπή credentials και να διανείμουν ransomware εντός 48 ωρών από την αρχική παραβίαση.»
Η ομάδα του BazarCall προφανώς συνεργάστηκε με την ομάδα που βρίσκεται πίσω από το Ryuk ransomware, που έχει κερδίσει περίπου 150 εκατομμύρια δολάρια σε Bitcoin από τις επιθέσεις της.
Μερικές αξιοσημείωτες διαφορές με την τακτική της ομάδας του BazarCall είναι ότι δεν χρησιμοποιούν phishing links ούτε στέλνουν κακόβουλα συνημμένα, που βοηθούν στην αποφυγή κλασικών συστημάτων ανίχνευσης. Η τεχνική είναι πιο κοντά στους απατεώνες τηλεφωνικών κέντρων, ενώ τα θύματα συνδέονται με έναν ανθρώπινο χειριστή.
Δείτε ακόμη: Malware εμφανίζεται ως Windows 11 Installer και μολύνει χρήστες
Τα τμήματα προσέγγισης του τηλεφωνικού κέντρου και της διεύθυνσης email φαίνονται αρκετά καλά οργανωμένα. Ενώ οι θεματικές γραμμές στα email επαναλαμβάνονται, κάθε email επισημαίνεται με μοναδική αλφαριθμητική συμβολοσειρά, δημιουργώντας ένα user ID ή ένα transaction code, προκειμένου να ταυτοποιηθεί το θύμα σε πολλές κλήσεις.
Ο αρχικός χειριστής τηλεφωνικού κέντρου συζητά τη συνδρομή που λήγει και, στη συνέχεια, συνιστά στο θύμα να επισκεφθεί ένα fake website, όπου υποτίθεται ότι μπορεί να ακυρώσει τη συνδρομή για να αποφύγει μελλοντικές μηνιαίες χρεώσεις.
Η Microsoft έχει παράσχει πρόσθετες λεπτομέρειες σχετικά με τις κακόβουλες μακροεντολές που χρησιμοποιεί η ομάδα σε αρχεία Excel για τη λήψη του Cobalt Strike penetration testing kit, για την απόκτηση “hands-on-keyboard” ελέγχου του μηχανήματος του θύματος και για τη δυνατότητα αναζήτησης ενός δικτύου για πληροφορίες λογαριασμού διαχειριστή και διαχειριστή domain, με στόχο την κλοπή δεδομένων ή την ανάπτυξη του Ryuk ή του Conti ransomware.
Πρόταση: Haron & BlackMatter: Οι νέες ransomware ομάδες που «έφερε» ο Ιούλιος
Ο εκπρόσωπος δίνει εντολή στο θύμα να πλοηγηθεί στη σελίδα του λογαριασμού και να ακυρώσει τη συνδρομή κατεβάζοντας ένα αρχείο, το οποίο αποδεικνύεται ότι είναι ένα έγγραφο Excel με δυνατότητα μακροεντολών. Ο εκπρόσωπος του τηλεφωνικού κέντρου λέει στο θύμα να ενεργοποιήσει το περιεχόμενο στην προεπιλεγμένη προειδοποίηση της Microsoft στο Excel ότι οι μακροεντολές έχουν απενεργοποιηθεί.
Σε περιπτώσεις όπου το ransomware αναπτύχθηκε μετά από παραβίαση, ο εισβολέας χρησιμοποίησε high privilege παραβιασμένους λογαριασμούς με τη λειτουργικότητα PsExec του Cobalt Strike, για τη διανομή του Ryuk ή του Conti ransomware σε συσκευές δικτύου, πρόσθεσε η Microsoft.
Πηγή πληροφοριών: zdnet.com
