Операторы вредоносного ПО BazarLoader работают вместе с подпольными колл-центрами, чтобы обманом заставить жертв своих спам-кампаний открывать вредоносные документы Office и заражать себя вредоносными программами. Хотя это не первый случай, когда киберпреступники работают вместе с подпольными колл-центрами, это первый раз, когда эта тактика используется в таких больших масштабах.
Атаки настолько странны и отличаются от всего, что можно увидеть сегодня на сцене вредоносных программ, что у них есть собственное имя BazarCall или BazaCall, поскольку для завершения процесса заражения необходимо совершить телефонный звонок
Как работает атака BazarCall
В настоящее время эти атаки следуют простой, но очень эффективной схеме. Все начинается с того, что BazarLoader рассылает избранным жертвам рассылку спама по электронной почте.
Чтобы привлечь внимание целей, в электронных письмах обычно используются приманки, связанные с предложениями, бесплатными пробными версиями или подписками на медицинские, ИТ или другие финансовые услуги. Электронные письма также содержат инструкции для получателей позвонить по номеру телефона, чтобы получить дополнительную информацию об их предложении.
Если пользователи звонят по этому номеру, они подключаются к колл-центру, где оператор направляет жертву для загрузки файла Office с отключенной функцией безопасности Office тем самым позволяя документу, обычно файлу Excel или Word, запускать «макросы», которые и заражают компьютер ПО.
Исследователь вредоносных программ, ведущий в Twitter блог под именем TheAnalyst, сказал, что спам-кампании BazarCall проводятся с января 2021 года.
Аналитик, который также является человеком, который ввел термин BazarCall, сказал, что большинство этих спам-кампаний нацелены на пользователей с корпоративными адресами электронной почты и почти никогда не преследуют домашних пользователей, которые используют бесплатные почтовые сервисы, такие как Gmail, Hotmail или Yahoo.
Исследователь безопасности говорит, что классический финал для этих атак - заражение корпоративных сетей, где вредоносная программа BazarLoader разворачивается предоставляет доступ программам-вымогателям.
Кроме того, TheAnalyst также сообщил, что некоторые из вредоносных документов, замеченных в схемах колл-центров BazarCall, также были замечены при установке трояна TrickBot вместо BazarLoader. Однако это неудивительно, поскольку обычно считается, что вредоносное ПО BazarLoader было создано той же группой, что и вредоносное ПО TrickBot.
