BazaFlix

BazaFlix-Beschreibung

Eine neue Angriffskampagne verwendet dedizierte Call Center und einen gefälschten Streaming-Dienst, um ahnungslose Benutzer zum Herunterladen beschädigter Dokumente mit der BazarLoader-Malware-Bedrohung zu verleiten. Diese besondere Art von Angriffsoperationen trat Anfang 2021 auf. Im Wesentlichen handelt es sich um eine neue Phishing-Methode, die von Infosec-Forschern als BazarCall bezeichnet wurde.

Die Cyberkriminellen verbreiten Spam-E-Mail-Nachrichten, in denen behauptet wird, dass ein nicht vorhandenes Test- oder Demo-Abonnement bald abläuft, was zu Zahlungsgebühren für die Kredit- / Debitkarte des Benutzers führt. Bisher wurde eine breite Palette von Diensten mit E-Mails missbraucht, die anscheinend von Unternehmen aus den Bereichen Medizin, Pharmazie, Dessous, Blumen oder Antiviren gesendet wurden. Die neueste Kampagne liefert jedoch Nachrichten, die angeblich von einem Streaming-Dienst namens BravoMovies stammen. Die Operation wurde von den Infosec-Forschern von Proofpoint entdeckt, die sie als BazaFlix verfolgten.

BazaFlix Details

Die Köder-E-Mails halten sich an dasselbe Muster - sie behaupten, dass das Test- / Demo-Abonnement des Benutzers für BravoMovies, das in den E-Mails als einer der wichtigsten Streaming-Dienste der Welt beschrieben wird, bald abläuft und eine Gebühr von 39,99 USD für ein Premium-Upgrade an die bereitgestellte Zahlungskarte automatisch weitergeleitet wird. Um den Vorgang abzubrechen, werden Benutzer per E-Mail angewiesen, die angegebene Telefonnummer für den Kundendienst anzurufen.

Dadurch wird der betroffene Benutzer mit einem Callcenter verbunden, das für die Hacker arbeitet. Der Telefonist wird dann versuchen, das Vertrauen des Anrufers zu gewinnen und die Legitimität des Vorgangs zu erhöhen, indem er den Benutzer zu einer speziell gestalteten Website für den angeblichen Streaming- und TV-Dienst „BravoMovies" eines Unternehmens namens UrbanCinema führt. Die Website wird durch mehrere Filmplakate, die aus verschiedenen öffentlichen Quellen stammen, wie eine Werbeagentur, das Behance-Netzwerk für soziale Medien und das Buch "Wie man einen Hund stiehlt", offiziell vorgestellt.

Unter den Anweisungen weist der Callcenter-Betreiber die Anrufer an, ein Excel-Dokument auf ihren Computer herunterzuladen. Diese Waffendatei enthält beschädigte Makros, mit denen die BazarLoader-Malware letztendlich auf dem System abgelegt wird. Obwohl diese besondere Bedrohung fast ausschließlich als Übermittlungsvehikel für die Nutzlasten der nächsten Stufe verwendet wird, konnten Infosec-Forscher nicht beobachten, dass eine solche Malware der zweiten Stufe im Rahmen des BazaFlix-Angriffs ausgeliefert wird.

TrickBot-Verbindung

BazarLoader weist signifikante Code-Ähnlichkeiten mit einer älteren Malware-Bedrohung namens TrickBot Trojan auf. Cybersicherheitsforscher glauben mit großem Vertrauen, dass die TrcikBot-Bande auch für die Erstellung von BazarLoader verantwortlich ist. Die Hacker-Gruppe ist für mehrere Angriffe auf Unternehmensziele verantwortlich, bei denen Ransomware wie Ryuk Ransomware und Conti Ransomware an die gefährdeten Systeme geliefert wurde. BazarLoader wurde bei den Angriffen als Tool zum Löschen der Ransomware-Nutzdaten verwendet. Es ist zu beachten, dass die Call Center möglicherweise nicht von derselben Hacker-Gruppe betrieben werden, die den Vorgang unbedingt ausführt. Es ist durchaus möglich, dass die Call Center von einem völlig anderen Bedrohungsakteur als Service angeboten werden.