Proofpoint lancia l’allarme su una nuova campagna che sfrutta i servizi streaming: i cybercriminali usano anche i call center per aggirare le difese degli utenti e distribuire il malware BazaLoader.
I ricercatori di Proofpoint hanno identificato una campagna BazaLoader che richiede una significativa interazione umana per eseguire e installare una backdoor. L’attore della minaccia ha sfruttato il servizio clienti telefonico per invitare le vittime a scaricare e installare inconsapevolmente il malware. Questa campagna è rappresentativa di una tendenza più ampia sfruttata dagli attori della minaccia BazaLoader che utilizzano i call center come parte di una catena di attacchi particolarmente elaborata.
La campagna a tema entertainment è stata osservata per la prima volta all’inizio di maggio 2021, mascherata come servizio di intrattenimento in streaming e corredata da un sito web accattivante che presenta film falsi. La campagna mostra una relazione inversamente proporzionale tra i tassi di infezione e la richiesta alle persone di effettuare operazioni complesse – più passaggi vengono richiesti all’utente, meno probabilità ci sono che la catena di attacco vada a buon fine.
Tuttavia, nonostante sia all’apparenza controintuitivo, le tecniche utilizzate dai malintenzionati in questa campagna, e in altre simili, aiutano ad aggirare i sistemi di rilevamento delle minacce completamente automatizzati. Inoltre, avvalendosi di un’esca forte, come la possibile disdetta del servizio di streaming, si sfrutta il trend crescente di utenti che cancellano l’intrattenimento online dopo la significativa crescita del settore registrata nel corso del 2020.
I dettagli dell’attacco
BazaLoader è un downloader scritto in C++ che viene utilizzato per scaricare ed eseguire moduli aggiuntivi. Proofpoint ha osservato per la prima volta BazaLoader nell’aprile 2020. Attualmente è utilizzato da più gruppi di cybercriminali e serve frequentemente come loader di malware pericolosi tra cui Ryuk e Conti. Proofpoint ritiene ci sia forte sovrapposizione tra la distribuzione e l’attività di BazaLoader e il gruppo che sta dietro il malware The Trick, noto anche come Trickbot.
Nella più recente campagna BazaLoader, arrivano messaggi da mittenti diversi con oggetti del tipo: Il tuo periodo di prova M0012064753012345 sta per scadere. Fortunatamente hai deciso di restare con noi o La fase di demo è terminata! Il tuo account #M0272028060812345 sarà automaticamente trasformato in un piano premium!
Campagne correlate
Proofpoint ha osservato che i cybercriminali BazaLoader utilizzano il metodo del servizio clienti telefonico per indirizzare i download dannosi dal febbraio 2021 e hanno soprannominato questo metodo BazarCall. L’azienda aveva in precedenza osservato campagne via e-mail di BazaLoader – che includevano servizi farmaceutici in abbonamento e ordini di lingerie e fiori – che richiedevano una significativa interazione umana per eseguire il malware.
Avevano inoltre osservato catene di infezione simili per la distribuzione di The Trick. Sfruttando le catene di attacco che richiedono l’interazione umana, i cybercriminali possono bypassare alcuni servizi automatici di rilevamento delle minacce che segnalano solo i link o gli allegati dannosi nelle e-mail. Proofpoint prevede che gli hacker responsabili di BazaLoader e The Trick continueranno a utilizzare queste tecniche nelle campagne future.
Convincere ad agire
L’utilizzo di temi di entertainment in abbonamento rappresenta un metodo efficace per convincere gli utenti ad agire. Durante la pandemia di Covid nel 2020, gli abbonamenti ai servizi di streaming online sono saliti alle stelle, superando un miliardo di utenti a livello globale lo scorso anno. Ma secondo i dati del 2021, i consumatori stanno riducendo l’utilizzo di questi servizi approfittando di abbonamenti gratuiti e disdicendo quelli a pagamento al termine del periodo di prova. E i cybercriminali che stanno dietro a BazaLoader stanno approfittando di questa tendenza.
