Por carta: Os criminosos usam uma variedade de métodos para distribuir malware, incluindo, em alguns casos, centrais de atendimento. Os pesquisadores de segurança cibernética da Microsoft alertaram sobre um grupo usando a técnica para espalhar o carregador de malware BazarLoader.
Uma postagem de Brad Duncan da Palo Alto Networks (via ZDNet) explica que o BazarLoader fornece acesso backdoor a um host Windows infectado. Depois de baixado, os criminosos usam o backdoor para enviar malware de acompanhamento, como ransomware, varrer o ambiente e explorar outros hosts vulneráveis na rede.
Aqueles por trás do BazarLoader usam uma variedade de métodos de distribuição. Em fevereiro deste ano, os pesquisadores começaram a relatar uma técnica baseada em call center, batizada de BazarCall, que tira proveito dos menos conhecedores de tecnologia.
O processo começa com a vítima recebendo um e-mail alegando que uma assinatura de teste na qual ela se inscreveu expirou e seu cartão de crédito será cobrado automaticamente, a menos que ela ligue para o número do call center incluído para cancelar a sub-rotina.
Qualquer pessoa que ligar para o número será direcionada a um site falso da empresa e orientada a baixar um arquivo Excel. O operador da central de atendimento instrui a vítima a habilitar macros no arquivo, permitindo que a máquina seja infectada pelo BazarLoader, momento em que o alvo é informado de que sua inscrição foi cancelada.
O Microsoft Security Intelligence twittou que está rastreando a campanha de malware BazarCall e está alertando as pessoas para serem cautelosas. Ele também diz que observou os invasores usando kits de teste de penetração Cobalt Strike para roubar credenciais, incluindo o banco de dados do Active Directory (AD), e exfiltrar dados usando rclone.
“A falta de elementos maliciosos nos e-mails pode ser um desafio para a detecção. A visibilidade entre domínios do Microsoft 365 Defender permite que os sinais de endpoint informem o Microsoft Defender para as proteções do Office 365 contra os e-mails, garantindo uma defesa abrangente contra esse ataque”, explica a equipe de segurança da Microsoft .
A Microsoft criou uma página GitHub que oferece mais informações sobre o BazarCall que está sendo atualizado à medida que continua rastreando o malware.
