I ricercatori di Proofpoint hanno identificato una campagna BazaLoader che richiede una significativa interazione umana per eseguire e installare una backdoor. L’attore della minaccia ha sfruttato il servizio clienti telefonico per invitare le vittime a scaricare e installare inconsapevolmente il malware. Questa campagna è rappresentativa di una tendenza più ampia sfruttata dagli attori della minaccia BazaLoader che utilizzano i call center come parte di una catena di attacchi particolarmente elaborata,
La campagna a tema entertainment è stata osservata per la prima volta all’inizio di maggio 2021, mascherata come servizio di intrattenimento in streaming e corredata da un sito web accattivante che presenta film falsi. La campagna mostra una relazione inversamente proporzionale tra i tassi di infezione e la richiesta alle persone di effettuare operazioni complesse – più passaggi vengono richiesti all’utente, meno probabilità ci sono che la catena di attacco vada a buon fine. Tuttavia, nonostante sia all’apparenza controintuitivo, le tecniche utilizzate dai malintenzionati in questa campagna, e in altre simili, aiutano ad aggirare i sistemi di rilevamento delle minacce completamente automatizzati. Inoltre, avvalendosi di un’esca forte, come la possibile disdetta del servizio di streaming, si sfrutta il trend crescente di utenti che cancellano l’intrattenimento online dopo la significativa crescita del settore registrata nel corso del 2020.
Dettagli della campagna
BazaLoader è un downloader scritto in C++ che viene utilizzato per scaricare ed eseguire moduli aggiuntivi. Proofpoint ha osservato per la prima volta BazaLoader nell’aprile 2020. Attualmente è utilizzato da più gruppi di cybercriminali e serve frequentemente come loader di malware pericolosi tra cui Ryuk e Conti. Proofpoint ritiene ci sia forte sovrapposizione tra la distribuzione e l’attività di BazaLoader e il gruppo che sta dietro il malware The Trick, noto anche come Trickbot.
Infection Chain
Nella più recente campagna BazaLoader, arrivano messaggi da mittenti diversi con oggetti del tipo:
- Il tuo periodo di prova M0012064753012345 sta per scadere. Fortunatamente hai deciso di restare con noi!
- La fase di demo è terminata! Il tuo account #M0272028060812345 sarà automaticamente trasformato in un piano premium!
Figura 1: Email di BazaLoader mascherata da servizio di streaming entertainment
I messaggi e-mail contengono numeri di telefono e riferimenti alla società “BravoMovies” e informano l’utente che l’importo dell’abbonamento gli verrà addebitato sulla carta di credito a meno che non lo disdica. Se l’utente chiama il numero di telefono fornito nell’e-mail, il servizio clienti lo guiderà sul presunto sito web della società che è una rappresentazione convincente di un servizio di streaming cinematografico e televisivo. I malintenzionati hanno utilizzato locandine false ottenute da varie risorse open-source tra cui il social network creativo Behance e il libro “How to Steal a Dog”.
Figura 2: landing page di BravoMovies
Quando l’utente visita il sito, e si reca nella sezione Frequently Asked Questions, viene invitato a seguire le istruzioni per cancellare l’abbonamento sulla pagina “Subscribtion” e gli viene richiesto di scaricare un file Excel.
Figura 3: Pagine FAQ con istruzioni per la cancellazione
Figura 4: Falsa pagina di cancellazione dell’abbonamento
L’Excel contiene macro che, se abilitate, scaricano BazaLoader.
.
Figura 5: Excel malevolo
Campagne correlate
Proofpoint ha osservato che i cybercriminali BazaLoader utilizzano il metodo del servizio clienti telefonico per indirizzare i download dannosi dal febbraio 2021 e hanno soprannominato questo metodo “BazarCall“. L’azienda aveva in precedenza osservato campagne via e-mail di BazaLoader – che includevano servizi farmaceutici in abbonamento e ordini di lingerie e fiori – che richiedevano una significativa interazione umana per eseguire il malware.
Avevano inoltre osservato catene di infezione simili per la distribuzione di The Trick. Sfruttando le catene di attacco che richiedono l’interazione umana, i cybercriminali possono bypassare alcuni servizi automatici di rilevamento delle minacce che segnalano solo i link o gli allegati dannosi nelle e-mail. Proofpoint prevede che gli hacker responsabili di BazaLoader e The Trick continueranno a utilizzare queste tecniche nelle campagne future.
Conclusione
L’utilizzo di temi di entertainment in abbonamento rappresenta un metodo efficace per convincere gli utenti ad agire. Durante la pandemia di COVID-19 nel 2020, gli abbonamenti ai servizi di streaming online sono saliti alle stelle, superando un miliardo di utenti a livello globale lo scorso anno. Ma secondo i dati del 2021, i consumatori stanno riducendo l’utilizzo di questi servizi approfittando di abbonamenti gratuiti e disdicendo quelli a pagamento al termine del periodo di prova. E i cybercriminali che stanno dietro a BazaLoader stanno approfittando di questa tendenza.
