Эксперты Trellix: кампания BazarCall использует новую тактику обмана

[Artifact]

Теперь злоумышленники забирают у жертвы не только компьютер, но и деньги.

ИБ-компания Trellix опубликовала отчет о развитии атаки с использованием социальной инженерии BazarCall. Первоначально кампании BazarCall появились в конце 2020 года, и исследователи Trellix заметили непрерывный рост атак, связанных с этой кампанией.
В сообщениях говорится, что сначала злоумышленник доставляет бэкдор BazarLoader , который используется в качестве точки входа для установки программы-вымогателя Conti в течение 32 часов.
Также было обнаружено, что BazarCall доставляет другие вредоносные программы, такие как Ruyk , Trickbot , Gozi IFSB , IcedID . Эти кампании оказались наиболее активными в США, Канаде, Индии и Китае.
Кампания BazarCall начинается с фишингового электронного письма, в котором пользователю рекомендуется позвонить в колл-центр . При звонке жертва соединяется с реальными людьми на другом конце линии, которые затем предоставляют пошаговые инструкции по установке вредоносных программ на устройства.

Цепочка атак BazarCall
Trellix разделяет цепочку атак BazarCall на 3 этапа:
Этап 1 (приманка) – киберпреступники, выдавая себя за популярный бренд, отправляют поддельное электронное письмо.
В письме получателю сообщается о плате, взимаемой с его учетной записи за покупку продукта или подписку. В письме говорится, что жертва может позвонить по номеру телефона, чтобы запросить отмену списания.

Примеры поддельных писем
Этап 2 – жертва звонит в мошеннический колл-центр, где по инструкции злоумышленника загружает и запускает вредоносное ПО в своей системе.
Получателю предлагается предоставить реквизиты для выставления счета для «проверки». После этого мошенник заявляет, что в системе нет совпадающих записей и что письмо, полученное жертвой, является спамом.
Затем агент службы поддержки информирует жертву о том, что спам-письмо могло привести к заражению ее машины вредоносным ПО, предлагая соединить пользователя с техническим специалистом.
Затем другой мошенник звонит жертве и направляет ее на веб-сайт, где они загружают вредоносное ПО, маскирующееся под антивирусное программное обеспечение.

Фишинговые веб-сайты, использованные в недавних кампаниях BazarCall
Этап 3 – вредоносное ПО используется для финансового мошенничества или добавления в систему дополнительных вредоносных программ.
Trellix упоминает, что большинство этих недавних кампаний распространяют исполняемый файл ClickOnce, который при запуске устанавливает инструмент удаленного доступа ScreenConnect.
По словам Trellix, злоумышленник также может отобразить на мониторе поддельный экран блокировки системы и сделать её недоступной для жертвы, а сам в это время пользоваться компьютером без ведома жертвы.
Чтобы получить возмещение за якобы блокировку системы, жертве предлагается войти в свой банковский счет, где вместо этого ее обманом заставляют отправить деньги мошеннику. Это достигается путем блокировки экрана жертвы и инициирования запроса на перевод. Когда для транзакции потребуется одноразовый пароль, экран разблокируется.
Жертве предоставляется поддельная страница, на который написано, что средства возвращены на счет. Мошенник также может отправить жертве SMS о получении денег, чтобы жертва не заподозрила мошенничество.