BazaFlix

Description de BazaFlix

Une nouvelle campagne d'attaque utilise des centres d'appels dédiés et un faux service de streaming pour tromper les utilisateurs sans méfiance en téléchargeant des documents corrompus porteurs de la menace du malware BazarLoader. Ce style particulier d'opérations d'attaque est apparu au début de 2021. Il s'agit essentiellement d'une nouvelle méthode de phishing que les chercheurs d'Infosec ont désignée sous le nom de BazarCall.

Les cybercriminels diffusent des e-mails de spam affirmant qu'un abonnement d'essai ou de démonstration inexistant est sur le point d'expirer, entraînant des frais de paiement sur la carte de crédit / débit de l'utilisateur. Jusqu'à présent, un large éventail de services a été abusé avec des courriels envoyés par des entreprises des secteurs médical, pharmaceutique, de la lingerie, des fleurs ou de l'antivirus. La dernière campagne, cependant, délivre des messages censés provenir d'un service de streaming nommé BravoMovies. L'opération a été découverte par les chercheurs infosec de Proofpoint qui l'ont suivie sous le nom de BazaFlix.

Détails de BazaFlix

Les e-mails d'appât respectent le même schéma - ils affirment que l'abonnement d'essai / démo de l'utilisateur à BravoMovies, décrit dans les e-mails comme l'un des principaux services de streaming de la planète, est sur le point d'expirer et des frais de 39,99 $ seront transférés au carte de paiement fournie automatiquement pour une mise à niveau de niveau premium. Pour annuler le processus, l'e-mail demande aux utilisateurs d'appeler le numéro de téléphone du service client fourni.

Cela connectera l'utilisateur concerné à un centre d'appels travaillant pour les pirates. L'opérateur de téléphonie tentera alors de gagner la confiance de l'appelant et de renforcer la légitimité de l'opération en conduisant l'utilisateur vers un site Web spécialement conçu pour le prétendu service de streaming et de télévision `` BravoMovies '' d'une société appelée UrbanCinema. Le site Web a une apparence officielle à travers plusieurs affiches de films provenant de différentes sources publiques, telles qu'une agence de publicité, le réseau de médias sociaux Behance et le livre «Comment voler un chien».

Parmi les instructions, l'opérateur du centre d'appels indiquera aux appelants de télécharger un document Excel sur leur ordinateur. Ce fichier armé contient des macros corrompues qui finiront par déposer le malware BazarLoader sur le système. Bien que cette menace particulière soit utilisée presque exclusivement comme un véhicule de livraison pour les charges utiles de la prochaine étape, les chercheurs d'Infosec n'ont pas été en mesure d'observer un tel malware de deuxième étape livré dans le cadre de l'attaque BazaFlix.

Connexion TrickBot

BazarLoader partage d'importantes similitudes de code avec une ancienne menace de malware appelée TrickBot Trojan. Les chercheurs en cybersécurité estiment avec un haut niveau de confiance que le gang TrcikBot est également responsable de la création de BazarLoader. Le groupe de hackers est responsable de plusieurs attaques contre des cibles d'entreprise qui impliquaient la livraison de ransomwares tels que Ryuk Ransomware et Conti Ransomware aux systèmes compromis. BazarLoader a été utilisé dans les attaques comme un outil pour supprimer les charges utiles du ransomware. Il est à noter que les centres d'appels peuvent ne pas être exploités par le même groupe de hackers qui effectue nécessairement l'opération. Il est tout à fait possible que les centres d'appels soient proposés en tant que service par un acteur de la menace entièrement différent.