Une campagne malveillante en cours qui utilise de faux centres d’appels s’est avérée inciter les victimes à télécharger des logiciels malveillants capables d’exfiltrer des données ainsi qu’à déployer des ransomwares sur des systèmes infectés.
Les attaques – surnommées « BazaCall » – évitent les techniques traditionnelles d’ingénierie sociale qui reposent sur des URL malveillantes et des documents malveillants au profit d’une méthode de type vishing dans laquelle les utilisateurs ciblés reçoivent des messages électroniques les informant d’un abonnement à venir, à moins qu’ils n’appellent un numéro de téléphone.
En incitant les destinataires à appeler le numéro, les victimes sans méfiance sont connectées à un opérateur humain réel dans un centre d’appels frauduleux, qui leur fournit ensuite des instructions pour télécharger le logiciel malveillant BazaLoader.
BazaLoader (alias BazarBackdoor) est un téléchargeur basé sur C++ avec la possibilité d’installer divers types de programmes malveillants sur les ordinateurs infectés, y compris le déploiement de ransomware et d’autres logiciels malveillants pour voler des données sensibles à partir de systèmes victimes. Observées pour la première fois en avril 2020, les campagnes BazaLoader ont été utilisées par de multiples acteurs de la menace et servent fréquemment de chargeur pour les logiciels malveillants perturbateurs tels que les ransomware Ryuk et Conti.
 |
| Flux d’attaque BazaCall |
« Les attaques émanant de la menace BazaCall pourraient se déplacer rapidement au sein d’un réseau, conduire à une exfiltration de données et à un vol d’informations d’identification étendus, et distribuer des ransomwares dans les 48 heures suivant la compromission initiale », Microsoft 365 Defender Threat Intelligence Team mentionné dans un rapport publié jeudi.
Étant donné que le logiciel malveillant n’est pas distribué via un lien ou un document dans le corps du message lui-même, les leurres ajoutent un niveau de difficulté qui permet aux attaquants d’échapper aux logiciels de phishing et de détection de logiciels malveillants. Cette campagne fait partie d’une tendance plus large dans laquelle les criminels affiliés à BazaLoader dans lesquels ils utilisent des centres d’appels – les opérateurs apparemment non anglophones – font partie d’une chaîne d’attaque complexe.
 |
| Activités post-compromis |
Plus tôt en mai, Réseaux de Palo Alto et Preuve a révélé un mécanisme d’infection élaboré qui utilisait des sites Web associés à de faux livres électroniques (World Books) et à des services d’abonnement à la diffusion en continu de films (BravoMovies) comme tremplin pour fournir des feuilles de calcul Excel truquées contenant le malware BazaLoader. La dernière attaque divulguée par Microsoft n’est pas différente dans la mesure où l’agent du centre d’appels sert d’intermédiaire, exhortant l’appelant à naviguer vers un site Web de recettes (« topcooks[.]nous ») afin d’annuler l’abonnement d’essai inexistant.
« L’utilisation d’un autre élément humain dans la chaîne d’attaque de BazaCall via le contrôle manuel mentionné ci-dessus rend cette menace plus dangereuse et plus évasive que les attaques de logiciels malveillants automatisées traditionnelles », ont déclaré les chercheurs. « Les campagnes BazaCall soulignent l’importance de l’optique interdomaine et la capacité de corréler les événements dans la construction d’une défense complète contre les menaces complexes. »
