BazaLoader网络钓鱼电子邮件告诉人们拨打电话号码以取消电话订阅-那时,网络犯罪分子冒充“客户支持”,引导受害者下载勒索软件攻击中常用的恶意有效载荷。
大量的网络钓鱼活动正在试图欺骗人们,使他们相信他们已经订阅了电影流媒体服务,以迫使他们打通电话号码以取消电话–有人将指导他们完成一个程序,使该程序感染BazaLoader恶意软件。
BazaLoader在Windows计算机上创建了后门程序,可以用作提供其他恶意软件攻击(包括勒索软件)的初始访问媒介。臭名昭著的 Ryuk勒索是通过BazaLoader常用交付,这意味着由网络罪犯成功的妥协可能有极为不利的后果。
最新的BazaLoader活动基于人与人之间的互动以及错综复杂的攻击链,从而减少了检测到恶意软件的机会。
网络安全研究人员在Proofpoint进行了详细介绍,该活动的第一阶段涉及分发数以千计的网络钓鱼电子邮件,这些电子邮件声称来自“ BravoMovies”(一种由网络犯罪分子伪造的虚假视频流服务)。
该网站看起来令人信服,其背后的人甚至通过使用可在线获取的开源图像制作了虚假的电影海报-尽管该网站包含各种拼写错误的方式可能表明,如果访问者仔细看,这可能是不对的。
该电子邮件声称受害者注册了试用期,每月将收取39.99美元的费用-但如果他们致电支持热线,则可以取消该订阅。
如果用户拨打与他们联系的“客户服务”代表的电话,他们声称将指导他们完成取消订阅的过程-但他们实际上是在告诉不知情的受害者如何在他们的计算机上安装BazaLoader。
他们通过将调用者引导到“订阅”页面来实现此目的,该过程的一部分鼓励他们单击下载Microsoft Excel电子表格的链接。本文档包含宏,如果启用了这些宏,则会将BazaLoader秘密下载到计算机上,从而使恶意软件感染受害者的PC。
尽管这需要攻击者进行更多的动手工作,但将用户引导到远离初始网络钓鱼电子邮件的有效载荷后,使得在下载和安装过程中更难检测到该恶意软件。
“恶意附件经常被威胁检测软件阻止。通过指示人们致电电话中心作为攻击链的一部分,威胁参与者可以绕过威胁检测机制,否则该机制会将其附件标记为垃圾邮件。” ZDNet告诉Proofpoint进行威胁研究和检测。
“但是,这样做显着降低了受害者参与内容的可能性,并且威胁行为者需要花费更多的时间和精力。”
但是对于攻击者而言,发现攻击的较低风险使其最终值得付出额外的努力。
DeGrippo说:“社会工程学是此攻击链的关键,威胁行为者依赖于他们的社会工程学诱饵,诱使接收者采取行动来完成攻击链并在目标计算机上获取恶意软件。”
为了帮助保护用户以及整个组织免受网络钓鱼攻击和社会工程学的侵害,信息安全团队应培训用户发现和报告恶意电子邮件。
还值得注意的是,虽然收到一封电子邮件,声称如果您不响应,您的信用卡将被收取费用,这令人震惊,但它会产生一种紧迫感,这是网络钓鱼活动中常用的一种技巧,目的是诱骗用户让他们谨防并遵循指示。
*编译:Domino
*来自:zdnet