BazarCall Malware
Die BazarCall-Malware (oder BazaCall) ist ein Trojaner, der sich darauf spezialisiert hat, Backdoor-Trojaner und RATs (Remote Access Trojaner) auf hoher Ebene gegen die Netzwerke von Unternehmenseinheiten zu verteilen. Die Bedrohungsakteure verwenden eine Callcenter-Taktik, einschließlich Live-Telefonsupport, um Benutzer zum Öffnen eines beschädigten Excel-Dokuments zu verleiten. Mitarbeiter sollten Telefonnummern und Websites, die mit dieser Kampagne verbunden sind, meiden und vertrauenswürdige Anti-Malware ausführen, um die BazarCall-Malware oder verwandte Bedrohungen wie BazarBackdoor zu entfernen.
Ein Anruf, der nur zu Unternehmenssabotage führen kann
Obwohl Trojaner zum Sperren von Dateien und fortschrittliche Spyware für die Netzwerke von Unternehmen höchst wenig überraschend sind, sind die Taktiken, die Angreifer für ihre Bereitstellung verwenden, flexibel. Ein besonders neuartiger Punkt des strategischen Wandels ist die BazarCall-Malware, deren Existenz seit Januar 2021 nachgewiesen wurde. Während die BazarCall-Malware anspruchsvolle, aber traditionelle Bedrohungen liefert, geschieht dies durch ein hochinvestiertes Black-Hat-Geschäft. '
Das Geschäftsmodell von BazarCall Malware ist ein offensichtliches Softwareverteilungsschema, das seine Trojaner-Installationsdienste an andere Bedrohungsakteure verkauft. Aus Sicht des Opfers beginnt der Angriff wie viele andere mit einer betrügerischen E-Mail-Nachricht. Der Text behauptet, dass eine kostenlose Software-Testversion kurz vor dem Ablaufdatum steht und eine manuelle Stornierung erforderlich ist, um Gebühren zu vermeiden. Die E-Mail enthält keine angehängte Datei oder keinen Website-Link, sondern weist die Benutzer an, eine in einer Reihe von schnell wechselnden Telefonnummern anzurufen.
Die Nummer führt zu einem gefälschten Callcenter, das von engagierten Taktikkünstlern mit einer professionellen Arbeitsroutine von Montag bis Freitag betrieben wird. Die Angreifer überprüfen die E-Mail-ID (um zu vermeiden, dass Sicherheitsforscher auf die Probe gestellt werden), bevor sie die Opfer zu einem Website-Download eines Stornierungsformulars führen - einem verschleierten Download-Mechanismus für die BazarCall-Malware, der die Infektionskette auslöst.
Auflegen bei Corporate-Rampaging-Trojanern
Die vollständigen Funktionen der BazarCall Malware erfordern mehr Analysen, und Proben sind aufgrund ihrer neuartigen Verteilungstaktik Mangelware. Malware-Forscher können jedoch bestätigen, dass sie als Trojaner-Downloader fungieren, um andere Bedrohungen auf das System zu übertragen und Angreifern bei der Übernahme von Unternehmensnetzwerken zu helfen. Die Nutzlast der BazarCall Malware variiert je nach den mutmaßlichen Mietern der Partner, darunter BazarLoader (eine Ladekomponente für BazarBackdoor), Trojan.TrickBot-Spyware und der Botnet-Banking-Trojaner IcedID.
Zu den unmittelbaren Auswirkungen einer BazarCall-Malware-Infektion gehört der Verlust von Kennwörtern und anderen Anmeldeinformationen, mit denen Angreifer mit ziemlicher Sicherheit den Backdoor-Zugriff auf ein Netzwerk für langfristige Spionage sichern können. Es besteht auch ein erhebliches Risiko, dass Angreifer File-Locker-Trojaner einsetzen, um Daten wie die Dokumente und Datenbanken des Unternehmens zu verschlüsseln. Die Verschlüsselung ist normalerweise aus praktischen Gründen irreversibel.
Wie üblich können Opfer die Aktivierung des Excel-Makros verweigern, das das Drive-by-Download auslöst, oder an einem früheren Punkt der Taktik anhalten. Da eine Live-Call-Center-Taktik jedoch eine neuartige Infrastruktur für einen Bedrohungsakteur darstellt, deuten Berichte darauf hin, dass die Infektionsversuche mit BazarCall-Malware hohe Erfolgsraten aufweisen. Benutzer sollten auch ihre Anti-Malware-Dienste aktualisieren, um die BazarCall-Malware und das Ladedokument sicher zu entfernen.
Die BazarCall-Malware ist ein erschreckend gut durchdachtes Black Hat-Unternehmen, das die Bedürfnisse anderer Krimineller mit einer Infrastruktur erfüllt, die sich um Anbieter von Cybersicherheit dreht. Im Idealfall informieren sich Mitarbeiter in gefährdeten Sektoren über die neue Taktik, bevor die entsprechende E-Mail in ihrem Posteingang eintrifft.
