BazaFlix

新しい攻撃キャンペーンでは、専用のコールセンターと偽のストリーミングサービスを使用して、疑いを持たないユーザーをだまして、BazarLoaderマルウェアの脅威を含む破損したドキュメントをダウンロードさせます。この特定のスタイルの攻撃操作は、2021年の初めに登場しました。本質的に、これはinfosecの研究者がBazarCallとして指定した新しいフィッシング手法です。

サイバー犯罪者は、存在しないトライアルまたはデモサブスクリプションが間もなく期限切れになり、ユーザーのクレジットカード/デビットカードに支払い料金が発生することを主張するスパムメールメッセージを広めます。これまでのところ、医療、製薬、ランジェリー、花、またはウイルス対策の各セクターの企業から送信された電子メールで、さまざまなサービスが悪用されているようです。ただし、最新のキャンペーンでは、BravoMoviesという名前のストリーミングサービスから送信されたと思われるメッセージが配信されます。この操作は、BazaFlixとして追跡したProofpointのinfosec研究者によって発見されました。

BazaFlixの詳細

餌の電子メールは同じパターンに固執します-彼らは、地球上の主要なストリーミングサービスの1つとして電子メールに記載されているBravoMoviesへのユーザーのトライアル/デモサブスクリプションが間もなく期限切れになり、39.99ドルの料金がに転送されると主張していますプレミアム階層のアップグレードのために自動的に支払いカードを提供しました。プロセスをキャンセルするために、電子メールはユーザーに提供されたカスタマーサービスの電話番号に電話するように指示します。

そうすることで、影響を受けたユーザーをハッカーのために働いているコールセンターに接続します。次に、電話オペレーターは、UrbanCinemaと呼ばれる会社からの「BravoMovies」ストリーミングおよびTVサービスの疑いがある特別に細工されたWebサイトにユーザーを誘導することにより、発信者の信頼を獲得し、操作の正当性を高めようとします。このウェブサイトは、広告代理店、Behanceソーシャルメディアネットワーク、「犬どろぼう」などのさまざまな公開ソースからのいくつかの映画ポスターを通じて公式に公開されています。

指示の中で、コールセンターのオペレーターは、Excelドキュメントをコンピューターにダウンロードするように発信者に指示します。この武器化されたファイルには、最終的にBazarLoaderマルウェアをシステムにドロップする破損したマクロが含まれています。この特定の脅威は、ほぼ独占的に次の段階のペイロードの配信手段として使用されますが、infosecの研究者は、BazaFlix攻撃の一部として配信されるそのような第2段階のマルウェアを観察できませんでした。

TrickBot接続

BazarLoaderは、TrickBotTrojanという名前の古いマルウェアの脅威とコードの重要な類似点を共有しています。サイバーセキュリティの研究者は、TrcikBotギャングがBazarLoaderの作成にも責任を負っていると確信を持って信じています。ハッカーグループは、次のようなランサムウェアの配信を関与企業の目標に対する複数の攻撃を担当しリュークランサムウェアとコンティランサムウェア妥協のシステムに。 BazarLoaderは、ランサムウェアのペイロードをドロップするツールとして攻撃に使用されました。コールセンターは、必ずしも操作を実行するのと同じハッカーグループによって操作されるとは限らないことに注意する必要があります。コールセンターがまったく異なる脅威アクターによってサービスとして提供される可能性は完全にあります。