Microsoft avverte che l'operazione malware del call center BazarCall (o Bazacall) è in realtà più pericolosa di quanto si pensasse, con attacchi iniziali che potrebbero portare ad attacchi ransomware entro 48 ore.
Il gruppo aveva preso di mira i clienti di Office 365/Microsoft 365 con e-mail di phishing relative ad abbonamenti di prova fasulli in “scadenza” che inducono l'obiettivo a chiamare un call center per chattare con un operatore, che quindi tenta di ingannare la vittima nell'installazione della backdoor Bazacall.
Il Microsoft 365 Defender Threat Intelligence Team ha messo in luce il gruppo a giugno, come segnalato all'epoca da ZDNet, e in un nuovo post delinea come sia una minaccia più pericolosa di quanto precedentemente segnalato, consentendo agli aggressori di distribuire ransomware o rubare dati entro 48 ore dalla infezione.
“Oltre ad avere funzionalità backdoor, il payload BazaLoader di queste campagne offre anche a un utente malintenzionato il controllo pratico della tastiera sul dispositivo dell'utente interessato, che consente una rapida compromissione della rete”, afferma il team di Microsoft .
“A nostro avviso, gli attacchi provenienti dalla minaccia BazaCall potrebbero spostarsi rapidamente all'interno di una rete, condurre un'estesa esfiltrazione di dati e furto di credenziali e distribuire ransomware entro 48 ore dalla compromissione iniziale.”
Apparentemente il gruppo BazaCall ha ha collaborato con il gruppo dietro il ransomware Ryuk, che ha guadagnato circa $ 150 milioni in Bitcoin dai suoi attacchi.
Alcune differenze notevoli con le tattiche del gruppo BazaCall includono il fatto che non utilizzano collegamenti di phishing o inviano allegati dannosi, aiutando a evitare i classici sistemi di rilevamento. La tecnica è più vicina ai truffatori dei call center e le vittime sono anche collegate a un operatore umano.
“Il controllo pratico della tastiera rende ulteriormente questa minaccia più pericolosa ed evasiva rispetto ai tradizionali attacchi di malware automatizzati”, avverte Microsoft.
Il call center e le e-mail raggiungono parti del l'operazione sembra ragionevolmente ben organizzata. Mentre le righe dell'oggetto nelle e-mail vengono ripetute, ogni e-mail viene contrassegnata con una stringa alfanumerica univoca, creando un ID utente o un codice transazione, al fine di identificare la vittima in più chiamate.
L'operatore iniziale del call center discute l'abbonamento in scadenza e quindi consiglia alla vittima di visitare un sito Web fasullo dove presumibilmente può annullare l'abbonamento per evitare futuri canoni mensili.
Microsoft ha fornito ulteriori dettagli sull'utilizzo da parte del gruppo di macro dannose nei file Excel per scaricare il kit di test di penetrazione Cobalt Strike e ottenere il controllo “hands-on-keyboard” del computer di una vittima e la possibilità di cercare in una rete l'account di amministratore e amministratore di dominio info per esfiltrare i dati o distribuire Ryuk o Conti, un ransomware correlato.
L'agente indica alla vittima di accedere alla pagina dell'account e annullare l'abbonamento scaricando un file, che risulta essere un documento Excel con attivazione macro. L'agente del call center indica alla vittima di abilitare il contenuto sull'avviso predefinito di Microsoft in Excel che le macro sono state disabilitate.
Il gruppo, secondo la descrizione di Microsoft, sta usando “vivere fuori dalla terra” relativamente sofisticati (o abusando di strumenti software legittimi) per attività di rete nefaste.
Se l'attaccante trova un obiettivo di alto valore, utilizza 7-Zip per archiviare la proprietà intellettuale, come le informazioni su operazioni di sicurezza, finanza e budget, per l'esfiltrazione.
In casi dove il ransomware è stato distribuito dopo la compromissione, l'attaccante ha utilizzato account compromessi con privilegi elevati con la funzionalità PsExec di Cobalt Strike per distribuire il ransomware Ryuk o Conti sui dispositivi di rete, secondo Microsoft.
Argomenti correlati:
Data center CXO per la gestione dei dati di Microsoft Security TV 