BazaFlix

Una nueva campaña de ataque utiliza centros de llamadas dedicados y un servicio de transmisión falso para engañar a los usuarios desprevenidos para que descarguen documentos corruptos que llevan la amenaza de malware BazarLoader. Este estilo particular de operaciones de ataque surgió a principios de 2021. En esencia, es un nuevo método de phishing que los investigadores de seguridad de información designaron como BazarCall.

Los ciberdelincuentes difunden mensajes de correo electrónico no deseado que afirman que una suscripción de prueba o demostración inexistente está a punto de vencer, lo que genera cargos de pago en la tarjeta de crédito / débito del usuario. Hasta ahora se ha abusado de una amplia gama de servicios con correos electrónicos enviados por empresas de los sectores médico, farmacéutico, de lencería, flores o antivirus. Sin embargo, la última campaña entrega mensajes que supuestamente provienen de un servicio de transmisión llamado BravoMovies. La operación fue descubierta por los investigadores de seguridad de información en Proofpoint que la rastrearon como BazaFlix.

Detalles de BazaFlix

Los correos electrónicos de cebo se adhieren al mismo patrón: afirman que la suscripción de prueba / demostración del usuario a BravoMovies, descrito en los correos electrónicos como uno de los principales servicios de transmisión del planeta, está a punto de vencer y se enviará un cargo de $ 39.99 al proporcionó la tarjeta de pago automáticamente para una actualización de nivel premium. Para cancelar el proceso, el correo electrónico indica a los usuarios que llamen al número de teléfono de servicio al cliente proporcionado.

Hacerlo conectará al usuario afectado con un centro de llamadas que trabaja para los piratas informáticos. Luego, el operador telefónico intentará ganarse la confianza de la persona que llama y aumentar la legitimidad de la operación al llevar al usuario a un sitio web especialmente diseñado para el supuesto servicio de transmisión y televisión 'BravoMovies' de una compañía llamada UrbanCinema. El sitio web tiene apariencia oficial a través de varios carteles de películas que provienen de diferentes fuentes públicas, como una agencia de publicidad, la red social Behance y el libro 'Cómo robar un perro'.

Entre las instrucciones, el operador del centro de llamadas les dirá a las personas que llamen que descarguen un documento de Excel en sus computadoras. Este archivo armado contiene macros corruptas que finalmente arrojarán el malware BazarLoader al sistema. Aunque esta amenaza en particular se utiliza casi exclusivamente como vehículo de distribución para las cargas útiles de la siguiente etapa, los investigadores de seguridad de la información no han podido observar que se entregue un malware de segunda etapa como parte del ataque BazaFlix.

Conexión TrickBot

BazarLoader comparte similitudes de código significativas con una amenaza de malware más antigua llamada TrickBot Trojan. Los investigadores de ciberseguridad creen con un alto nivel de confianza que la banda TrcikBot también es responsable de la creación de BazarLoader. El grupo de hackers es responsable de múltiples ataques contra objetivos corporativos que involucraron la entrega de ransomware como Ryuk Ransomware y Conti Ransomware a los sistemas comprometidos. BazarLoader se utilizó en los ataques como una herramienta para eliminar las cargas útiles de ransomware. Cabe señalar que los call center no pueden ser operados por el mismo grupo de hackers que necesariamente realiza la operación. Es completamente posible que los centros de llamadas sean ofrecidos como un servicio por un actor de amenazas completamente diferente.