Бесплатно Экспресс-аудит сайта:

02.04.2021

Операторы BazarLoader сотрудничают с подпольными центрами обработки вызовов

Операторы вредоносного ПО BazarLoader активно сотрудничают с подпольными центрами обработки вызовов, чтобы обманом заставлять пользователей загрузить вредоносные документы Microsoft Office.

Мошенники и раньше работали вместе с подпольными центрами обработки вызовов, однако это первый случай, когда подобные центры используются в масштабных вредоносных кампаниях крупных операторов вредоносов. Атаки получили название BazarCall (BazaCall), поскольку они используют телефонные звонки для завершения процесса заражения.

Операторы BazarLoader осуществляют рассылку спама по электронной почте пользователям в Сети. Для привлечения внимания потенциальных жертв в электронных письмах обычно используются темы, связанные с бесплатными пробными версиями или подписками на медицинские, IT или другие финансовые услуги. Электронные письма также содержат инструкции, предлагающие позвонить по номеру телефона и получить дополнительную информацию.

Позвонивших по указанному номеру подключают к колл-центру, где англоговорящий оператор помогает жертве загрузить необходимый документ, отключить функции безопасности Office и обеспечить выполнение автоматизированных скриптов.

Исследователь безопасности, использующий псевдоним TheAnalyst, сообщил изданию The Record, что кампании BazarCall проводятся с января 2021 года. Большинство атак нацелены на пользователей с корпоративными адресами электронной почты или адресами в домене .edu и почти никогда не направлены против обычных пользователей бесплатных почтовых служб.

Как только происходит заражение корпоративных сетей, операторы BazarLoader могут затем предоставлять доступ к системам другим вымогательским группировкам, таким как Ryuk и пр.