Атаки получили название BazarCall, поскольку для завершения процесса заражения используются телефонные звонки.
https://www.securitylab.ru/upload/ib...0fdd0a30ec.png
Операторы вредоносного ПО BazarLoader активно сотрудничают с подпольными центрами обработки вызовов, чтобы обманом заставлять пользователей загрузить вредоносные документы Microsoft Office.
Мошенники и раньше работали вместе с подпольными центрами обработки вызовов, однако это первый случай, когда подобные центры используются в масштабных вредоносных кампаниях крупных операторов вредоносов. Атаки получили название BazarCall (BazaCall), поскольку они используют телефонные звонки для завершения процесса заражения.
Операторы BazarLoader осуществляют рассылку спама по электронной почте пользователям в Сети. Для привлечения внимания потенциальных жертв в электронных письмах обычно используются темы, связанные с бесплатными пробными версиями или подписками на медицинские, IT или другие финансовые услуги. Электронные письма также содержат инструкции, предлагающие позвонить по номеру телефона и получить дополнительную информацию.
Позвонивших по указанному номеру подключают к колл-центру, где англоговорящий оператор помогает жертве загрузить необходимый документ, отключить функции безопасности Office и обеспечить выполнение автоматизированных скриптов.
Исследователь безопасности, использующий псевдоним TheAnalyst, сообщил изданию The Record, что кампании BazarCall проводятся с января 2021 года. Большинство атак нацелены на пользователей с корпоративными адресами электронной почты или адресами в домене .edu и почти никогда не направлены против обычных пользователей бесплатных почтовых служб.
Как только происходит заражение корпоративных сетей, операторы BazarLoader могут затем предоставлять доступ к системам другим вымогательским группировкам, таким как Ryuk и пр.