Malware BazarCall
BazarCall Malware (o BazaCall) es un troyano especializado en la distribución de troyanos de puerta trasera de alto nivel y troyanos de acceso remoto (RAT) contra las redes de entidades corporativas, especialmente. Sus actores de amenazas utilizan una táctica de centro de llamadas, incluida la asistencia telefónica en vivo, para engañar a los usuarios para que abran un documento de Excel dañado. Los trabajadores deben evitar los números de teléfono y los sitios asociados con esta campaña y ejecutar un anti-malware confiable para eliminar BazarCall Malware o amenazas relacionadas como BazarBackdoor.
Un llamado que solo puede conducir al sabotaje corporativo
Aunque los troyanos de bloqueo de archivos y el software espía avanzado son cargas útiles muy poco sorprendentes contra las redes de las empresas, las tácticas que utilizan los atacantes para su implementación son flexibles. Un punto especialmente novedoso del cambio estratégico proviene de BazarCall Malware, con evidencia de su existencia desde enero de 2021. Si bien BazarCall Malware ofrece amenazas sofisticadas pero tradicionales, la forma en que lo hace es a través de un negocio de sombrero negro de alta inversión. '
El modelo de negocio de BazarCall Malware es un aparente esquema de distribución de software que vende sus servicios de instalación de troyanos a otros actores de amenazas. Desde el punto de vista de la víctima, el ataque comienza, como muchos otros, con un mensaje de correo electrónico fraudulento. El texto afirma que una prueba de software gratuita se acerca a su fecha de vencimiento, y que se requiere la cancelación manual para evitar cualquier cargo. El correo electrónico no incluye un archivo adjunto o un enlace a un sitio web, sino que dirige a los usuarios a llamar a uno de una serie de números de teléfono que cambian rápidamente.
El número conduce a un centro de llamadas falso dirigido por artistas tácticos dedicados con una rutina de trabajo profesional de lunes a viernes. Los atacantes verifican la identificación del correo electrónico (para evitar dar pistas a los investigadores de seguridad) antes de llevar a las víctimas a la descarga de un sitio web de un formulario de cancelación, un mecanismo de descarga disfrazado para BazarCall Malware, que inicia la cadena de infección.
Colgándose de los troyanos que arrasan con las empresas
Las funciones completas de BazarCall Malware requieren más análisis y las muestras son escasas debido a su novedosa táctica de distribución. Sin embargo, los investigadores de malware pueden confirmar su funcionamiento como un descargador de troyanos para lanzar otras amenazas al sistema y ayudar a los atacantes a hacerse cargo de las redes corporativas. La carga útil de BazarCall Malware varía según los presuntos inquilinos afiliados, incluido BazarLoader (un componente de carga para BazarBackdoor ), el software espía Trojan.TrickBot y el troyano bancario botnet, IcedID.
El impacto inmediato de una infección de BazarCall Malware incluye la pérdida de contraseñas y otras credenciales que los atacantes podrían usar para asegurar el acceso de puerta trasera a una red para espionaje a largo plazo casi con certeza. También existe un riesgo sustancial de que los atacantes implementen troyanos de bloqueo de archivos para cifrar datos, como los documentos y las bases de datos de la empresa. El cifrado suele ser irreversible para todas las consideraciones prácticas.
Como de costumbre, las víctimas pueden negarse a habilitar la macro de Excel que activa la descarga directa o detenerse en un punto anterior de la táctica. Sin embargo, dado que una táctica de centro de llamadas en vivo es una nueva pieza de infraestructura para un actor de amenazas, los informes sugieren que los intentos de infección de BazarCall Malware tienen altas tasas de éxito. Los usuarios también deben actualizar sus servicios anti-malware para eliminar BazarCall Malware y su documento de carga de forma segura.
BazarCall Malware es un negocio Black Hat terriblemente bien pensado que satisface las necesidades de otros delincuentes con una infraestructura que bordea a los proveedores de ciberseguridad. Idealmente, los trabajadores de los sectores en riesgo se informarán sobre la nueva táctica antes de que llegue el correo electrónico pertinente a su bandeja de entrada.
