引言

7月29日，研究人员发布了对BazaCall恶意活动的调查报告。攻击者使用虚假呼叫中心诱骗受害者下载恶意软件，从而在受影响的机器上部署勒索软件。研究人员指出，BazaCall攻击可以在网络内迅速传播，并进行广泛的凭证和数据窃取，还可以在入侵后的48小时内分发勒索软件BazaLoader。由于恶意软件并不存在于邮件本身的链接或文档中，这种骗局有助于攻击者绕过一些网络钓鱼和恶意软件检测服务。

简况

BazarCall活动于今年2月首次被发现，攻击者伪装成订阅服务提供商，引诱受害者使用手机取消一项不存在的订阅。一旦接通呼叫中心，工作人员就会指导他们将恶意软件下载到电脑上。微软在7月29日发布的报告中表示，对BazaCall活动的持续调查表明，除了具有后门功能外，BazarCall活动的BazaLoader负载还为远程攻击者提供了对受影响用户设备的手动键盘控制，从而实现了快速的网络攻击。此外，BazaCall攻击可以在网络内迅速传播，进行广泛的数据和凭据盗窃，并在初始入侵后的48 小时内分发勒索软件。

BazaCall 活动从一封电子邮件开始，该电子邮件使用各种社会工程诱饵来诱骗目标收件人拨打电话号码。与典型的垃圾邮件和网络钓鱼电子邮件不同，BazaCall 的邮件正文中没有用户必须单击或打开的链接或附件。相反，它会指示用户在有问题时拨打电话号码。每封 BazaCall 电子邮件均由不同的发件人发送，通常使用免费电子邮件服务和可能被盗用的电子邮件地址。电子邮件中的诱饵使用与真实企业名称相似的虚假企业名称。如果目标收件人决定拨打电子邮件中的电话号码，则将与来自 BazaCall 运营商设立的欺诈性呼叫中心的实际员工通话，员工会提供将恶意软件安装到他们的设备中的步骤说明。典型的 BazaCall 攻击流程如下图：

呼叫中心代理指示用户导航到帐户页面并下载文件以取消订阅。该文件是一个启用宏的Excel文档，其名称如““cancel_sub_[unique ID number].xlsb.”。在某些情况下，即使启用了Microsoft Defender SmartScreen等安全过滤器，用户也会故意绕过它来下载文件，这表明呼叫中心代理可能会指示用户绕过安全协议，这再次证明了BazaCall攻击中使用的社交工程策略的有效性。下载的Excel文件显示一个虚假的通知，说它受到Microsoft Office的保护。然后，呼叫中心代理指示用户单击按钮，使编辑和内容(宏)能够查看电子表格的内容。如果用户启用宏，则BazaLoader恶意软件将被发送到设备。随后，宏使用新命名的certutil.exe副本连接到攻击者的基础设施并下载BazaLoader。攻击者入侵到目标机器后的攻击活动如下，包括数据渗漏和安装勒索软件：

总结

BazaCall结合了社会工程、邮件钓鱼以及电话诈骗，是一种非常危险的攻击活动。BazaCall的电子邮件中缺乏典型的恶意元素，且其运营商发起攻击的速度很快，这证明了如今企业面临的威胁越来越复杂，越来越难以躲避。

PS：每日更新整理国内外威胁情报快讯，帮助威胁研究人员了解及时跟踪相关威胁事件

关注微信公众号：安恒威胁情报中心

获取一手原创安全分析报告

【版权声明】：本文内容由互联网用户自发贡献，该文观点仅代表作者本人。 本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容， 请联系首页【QQ秒回】 举报，一经查实，本站将立刻删除。 转载请说明来源于"聚上美"，本文地址：https://yfnsxy.cn/shjw/19522.html