Proofpoint ha lanciato l’allarme su una nuova campagna che sfrutta i servizi streaming per impadronirsi dei dati degli uenti web: i ricercatori hanno identificato una campagna BazaLoader che richiede una significativa interazione umana per eseguire e installare una backdoor, che utilizza i call center come parte di una catena di attacchi particolarmente elaborata,
La campagna a tema entertainment è stata osservata per la prima volta all’inizio di maggio di quest’anno, mascherata come servizio di intrattenimento in streaming e corredata da un sito web accattivante che presenta falsi film. La campagna mostra una relazione inversamente proporzionale tra i tassi di infezione e la richiesta alle persone di effettuare operazioni complesse: più passaggi vengono richiesti all’utente, meno probabilità ci sono che la catena di attacco vada a buon fine. Tuttavia, nonostante sia all’apparenza controintuitivo, le tecniche utilizzate dai malintenzionati in questa campagna, e in altre simili, aiutano ad aggirare i sistemi di rilevamento delle minacce completamente automatizzati. Inoltre, avvalendosi di un’esca forte, come la possibile disdetta del servizio di streaming, si sfrutta il trend crescente di utenti che cancellano l’intrattenimento online dopo la significativa crescita del settore registrata nel corso del 2020.
BazaLoader è un downloader scritto in C++ che viene utilizzato per scaricare ed eseguire moduli aggiuntivi. Proofpoint ha osservato per la prima volta BazaLoader nell’aprile 2020. Attualmente è utilizzato da più gruppi di cybercriminali e serve frequentemente come loader di malware pericolosi tra cui Ryuk e Conti, noti ramsonware.
Nella più recente campagna esaminata BazaLoader, arrivano messaggi da mittenti diversi con oggetti del tipo ‘ Il tuo periodo di prova M0012064753012345 sta per scadere. Fortunatamente hai deciso di restare con noi!‘ oppure ‘La fase di demo è terminata! Il tuo account #M0272028060812345 sarà automaticamente trasformato in un piano premium!‘. I messaggi e-mail contengono numeri di telefono e riferimenti alla società ‘BravoMovies’ e informano l’utente che l’importo dell’abbonamento gli verrà addebitato sulla carta di credito a meno che non lo disdica. Se l’utente chiama il numero di telefono fornito nell’e-mail, il servizio clienti lo guiderà sul presunto sito web della società che è una rappresentazione convincente di un servizio di streaming cinematografico e televisivo. L’utente viene quindi invitato a seguire le istruzioni per cancellare l’abbonamento sulla pagina ‘Subscription’ e gli viene richiesto di scaricare un file Excel, che contiene macro che, se abilitate, scaricano BazaLoader.
Proofpoint ha osservato che i cybercriminali BazaLoader utilizzano il metodo del servizio clienti telefonico per indirizzare i download dannosi dal febbraio 2021 e hanno soprannominato questo metodo ‘BazarCall’. L’azienda aveva in precedenza osservato campagne via e-mail di BazaLoader – che includevano servizi farmaceutici in abbonamento e ordini di lingerie e fiori – che richiedevano una significativa interazione umana per eseguire il malware.
Sfruttando le catene di attacco che richiedono l’interazione umana, i cybercriminali possono bypassare alcuni servizi automatici di rilevamento delle minacce che segnalano solo i link o gli allegati dannosi nelle e-mail. Proofpoint prevede che gli hacker responsabili di BazaLoader e The Trick continueranno a utilizzare queste tecniche nelle campagne future.
