骗子使用虚假呼叫中心通过BazaCall攻击传播勒索软件

在 BazaCall 中，使用了一种“类似 vishing”的方法，受害者会收到电子邮件，通知他们需要支付订阅费用，或者如果他们不拨打特定的电话号码，他们的订阅就会过期。

发现了一项新活动，其中虚假呼叫中心诱骗受害者下载恶意软件、执行数据泄露并在受影响的机器上部署勒索软件。这种攻击称为 BazaCall。

Microsoft 365 Defender 威胁情报团队发现并报告了这一新活动。研究人员指出，BazaCall 攻击可以在网络内迅速传播，并进行广泛的凭证和数据窃取。它还可以在入侵后的 48 小时内分发勒索软件。

该活动似乎受到了与 BazaLoader 相关的犯罪分子在其复杂的攻击链中使用呼叫中心的趋势的启发，呼叫中心主要是雇用非英语母语人士。

BazaCall 如何诱捕受害者？

它避开了我们已经习惯的传统社会工程实践，例如使用流氓 URL 或受感染的文档来释放恶意软件。

在 BazaCall 中，使用了一种“类似 vishing ”的方法。在这次攻击中，受害者会收到电子邮件，通知他们订阅费用将被收取，或者如果他们不拨打特定电话号码，他们的订阅将会过期。

在一篇博客文章中，Microsoft 365 Defender 威胁情报团队的研究人员写道：

“活动中的每一波电子邮件都使用不同的订阅“主题”，该主题应该会过期，例如照片编辑服务或烹饪和食谱网站会员资格。在最近的一次活动中，电子邮件取消了订阅试用角度，取而代之的是购买软件许可证的确认收据。” 

当受害者拨打该号码时，他们会与虚假呼叫中心的一名员工建立联系，该员工会指示他们访问一个看起来很真实的网站。受害者必须从他们的帐户页面下载文件才能取消订阅。在下载的文档上启用宏后，BazaLoader 恶意软件将从Cobalt Strike信标传送。

什么是 BazaLoader

BazaLoader 也称为 BazarBackdoor，是一个基于 C++ 的下载器。Palo Alto Networks于 2021 年 3 月首次发现该恶意软件。它可以在受感染的机器上安装不同类型的恶意软件，包括勒索软件和数据窃取恶意软件。

据报道，研究表明，自 2020 年 4 月以来，多个威胁行为者在活动中使用了后门，并且它经常充当Ryuk或Conti 勒索软件等毁灭性威胁的加载程序。

由于恶意软件不是通过电子邮件正文中的恶意文档或 URL 传播的，因此检测威胁变得非常困难，攻击者可以成功避开恶意软件检测软件。

研究人员总结道：“BazaCall 活动强调了跨域光学的重要性以及关联事件在构建针对复杂威胁的全面防御方面的能力。”