Cyberprzestępcy stają się coraz bardziej bezczelni. Nowa metoda wykorzystuje „call center”.

E-maile phishingowe BazaLoader nakłaniają ludzi do zadzwonienia na podany numer telefonu w celu anulowania rzekomej subskrypcji. Wtedy cyberprzestępcy udający obsługę klienta z call center nakłaniają rozmówcę do pobrania złośliwego oprogramowania, które jest obecnie powszechnie używane w atakach ransomware.

Na czym to polega?

Kampania phishingowa ma na celu skłonienie ludzi do uwierzenia, że subskrybowali usługę strumieniowego przesyłania filmów. W rezultacie będą oni skłonni zadzwonić pod numer telefonu w celu anulowania subskrypcji – a tam już ktoś przeprowadzi ich przez procedurę, wskutek której zainfekują oni swój komputer złośliwym oprogramowaniem BazaLoader.

BazaLoader instaluje backdoora na komputerach z systemem Windows, którego można użyć jako pierwszego wektora ataku. Potem przychodzi kolej na instalację złośliwego oprogramowania - w tym ransomware. Tu nie ma zaskoczenia w wyborze - za pośrednictwem BazaLoader jest dostarczane ransomware Ryuk a potem… potem są już tylko przykre konsekwencje.

Najnowsza kampania BazaLoader opiera się więc na interakcji z ofiarą i skomplikowanym sposobem instalacji malware, który jednak – jeśli już ofiara wpadnie w sidła – znacząco zmniejsza prawdopodobieństwo wykrycia złośliwego oprogramowania.

39,99 dolarów za BravoMovies

Na razie szczegóły są skrojone pod potencjalne ofiary zza oceanu ale doświadczenie uczy, że już niedługo podobna mechanika ataku zagości nad Wisłą dlatego warto przyjrzeć się bliżej sposobowi działania atakujących. Firma Proofpoint informuje więc nas, że atak polegał na dystrybucji dziesiątek tysięcy wiadomości phishingowych rzekomo pochodzących z „BravoMovies” - fałszywej usługi przesyłania strumieniowego wideo stworzonej przez atakujących. Witryna wyglądała naprawdę przekonująco a osoby stojące za nią stworzyły nawet fałszywe plakaty filmowe, korzystając z obrazów open source dostępnych w Internecie. Minusem mogącym wskazywać, że coś jest nie tak, były jedynie pewne błędy ortograficzne.

Wiadomość e-mail oznajmiała ofierze, że zapisała się ona na okres próbny i że będzie naliczona opłata w wysokości 39,99 dolarów miesięcznie - ale ta rzekoma subskrypcja może zostać anulowana, jeśli zadzwoni się na infolinię. „Pracownik” infolinii kieruje rozmówcę na stronę Subscription i zachęca do kliknięcia łącza pobierającego arkusz kalkulacyjny Microsoft Excel. Ten dokument zawiera makra, które po włączeniu potajemnie pobiorą BazaLoader na maszynę.

Dlaczego nie wysyłają XLSa bezpośrednio e-mailem?

Chociaż wymaga to więcej wysiłku ze strony atakujących, nakłonienie użytkowników do samodzielnego pobrania zainfekowanego pliku zamiast wysyłania go w wiadomości phishingowej sprawia, że złośliwe oprogramowanie jest trudniejsze do wykrycia podczas pobierania i instalacji. Sherrod DeGrippo z Proofpoint wyjaśnia to tak:

Szkodliwe załączniki są często blokowane przez oprogramowanie wykrywające zagrożenia. Kierując ludzi do centrum obsługi telefonicznej cyberprzestępcy mogą ominąć mechanizmy wykrywania zagrożeń, które w innym przypadku oznaczałyby ich załączniki jako spam. Jednak takie postępowanie wymaga więcej czasu i wysiłku ze strony atakujących.

Cały zabieg jest też dobrze pomyślany od strony psychologicznej. Otrzymując wiadomość e-mail z informacją, że nasza karta kredytowa zostanie obciążona jeśli nie odpowiemy, jesteśmy zaskoczeni i buduje się w nas poczucie szybkiej reakcji. Szybkiej a więc i nie do końca przemyślanej.