Se descubrió una campaña maliciosa en curso que emplea centros de llamadas falsos para engañar a las víctimas para que descarguen malware capaz de exfiltración de datos, así como para implementar ransomware en los sistemas infectados.
Los ataques, denominados «BazaCall», evitan las técnicas tradicionales de ingeniería social que se basan en direcciones URL no autorizadas y documentos con malware en favor de un método similar al vishing en el que se envían mensajes de correo electrónico a los usuarios objetivo informándoles de un próximo cargo de suscripción, no llaman a un número específico. número de teléfono.
Al engañar a los destinatarios para que llamen al número, las víctimas desprevenidas se conectan con un operador humano real en un centro de llamadas fraudulento, quien luego les proporciona instrucciones para descargar el malware BazaLoader.
BazaLoader (también conocido como BazarBackdoor) es un descargador basado en C ++ con la capacidad de instalar varios tipos de programas maliciosos en computadoras infectadas, incluida la implementación de ransomware y otro malware para robar datos confidenciales de los sistemas víctimas. Observadas por primera vez en abril de 2020, las campañas de BazaLoader han sido utilizadas por múltiples actores de amenazas y, con frecuencia, sirven como un cargador para malware disruptivo como Ryuk y Conti ransomware.
 |
| Flujo de ataque de BazaCall |
«Los ataques que emanan de la amenaza BazaCall podrían moverse rápidamente dentro de una red, llevar a cabo una gran exfiltración de datos y robo de credenciales, y distribuir ransomware dentro de las 48 horas posteriores al compromiso inicial», dijo el equipo de inteligencia de amenazas de Microsoft 365 Defender en un informe publicado el jueves.
Debido a que el malware no se distribuye a través de un enlace o documento dentro del propio cuerpo del mensaje, los señuelos agregan un nivel de dificultad que permite a los atacantes evadir el software de detección de phishing y malware. Esta campaña es parte de una tendencia más amplia en la que los delincuentes afiliados a BazaLoader utilizan los centros de llamadas (los operadores aparentemente no son hablantes nativos de inglés) como parte de una intrincada cadena de ataque.
 |
| Actividades posteriores al compromiso |
A principios de mayo, Palo Alto Networks y Proofpoint revelaron un elaborado mecanismo de infección que aprovechaba sitios web asociados con libros electrónicos falsos (World Books) y servicios de suscripción de transmisión de películas (BravoMovies) como un trampolín para entregar hojas de cálculo de Excel manipuladas que contenían el malware BazaLoader. El último ataque revelado por Microsoft no es diferente en el sentido de que el agente del centro de llamadas sirve como conducto, instando a la persona que llama a navegar a un sitio web de recetas («topcooks[.]us») para cancelar la suscripción de prueba inexistente.
«El uso de otro elemento humano en la cadena de ataque de BazaCall a través del control manual mencionado anteriormente hace que esta amenaza sea más peligrosa y más evasiva que los ataques de malware automatizados tradicionales», dijeron los investigadores. «Las campañas de BazaCall resaltan la importancia de la óptica entre dominios y la capacidad de correlacionar eventos en la construcción de una defensa integral contra amenazas complejas».
