En bref: Les criminels utilisent diverses méthodes pour diffuser des logiciels malveillants, y compris, dans certains cas, des centres d’appels. Des chercheurs en cybersécurité de Microsoft ont mis en garde contre un groupe utilisant la technique pour diffuser le chargeur de logiciels malveillants BazarLoader.
Un article de Brad Duncan de Palo Alto Networks (via ZDNet) explique que BazarLoader fournit un accès backdoor à un hôte Windows infecté. Une fois téléchargés, les criminels utilisent la porte dérobée pour envoyer des logiciels malveillants de suivi, tels que des ransomwares, analyser l’environnement et exploiter d’autres hôtes vulnérables sur le réseau.
Ceux qui sont derrière BazarLoader utilisent une variété de méthodes de distribution. En février de cette année, les chercheurs ont commencé à signaler une technique basée sur les centres d’appels, baptisée BazarCall, qui tire parti des moins technophiles.
Le processus commence lorsqu’une victime reçoit un e-mail affirmant qu’un abonnement d’essai auquel elle s’est inscrit a expiré et que sa carte de crédit sera automatiquement débitée à moins qu’elle ne compose le numéro du centre d’appels inclus pour annuler l’abonnement.
Quiconque appelle le numéro sera dirigé vers un faux site Web d’entreprise et invité à télécharger un fichier Excel. L’opérateur du centre d’appels demande alors à la victime d’activer les macros sur le fichier, ce qui permet à la machine d’être infectée par BazarLoader, auquel cas la cible est informée qu’elle a été désabonnée.
Microsoft Security Intelligence a tweeté qu’il suivait la campagne de malware BazarCall et avertit les gens d’être prudents. Il indique également avoir observé les attaquants utilisant des kits de test de pénétration Cobalt Strike pour voler des informations d’identification, y compris la base de données Active Directory (AD), et exfiltrer des données à l’aide de rclone.
« L’absence d’éléments malveillants dans les e-mails peut être un défi pour la détection. La visibilité interdomaine de Microsoft 365 Defender permet aux signaux des points de terminaison d’informer Microsoft Defender pour Office 365 des protections contre les e-mails, assurant une défense complète contre cette attaque », explique l’équipe de sécurité de Microsoft .
Microsoft a créé une page GitHub qui offre plus d’informations sur BazarCall qui est mise à jour au fur et à mesure qu’il poursuit le suivi du malware.