发布于2022年10月11日3年前 BazaCall 回调网络钓鱼方法背后的运营商随着更新的社会工程策略不断发展,以在目标网络上部署恶意软件。 网络安全公司 Trellix在上周发布的一份报告中表示,该计划最终成为进行金融欺诈或交付勒索软件等下一阶段有效载荷的切入点。 最新攻击波的主要目标包括美国、加拿大、中国、印度、日本、台湾、菲律宾和英国 BazaCall(也称为 BazarCall)于 2020 年首次受到欢迎,因为它通过操纵潜在受害者拨打诱饵电子邮件中指定的电话号码来分发 BazarBackdoor(又名 BazarLoader)恶意软件的新颖方法。 这些电子邮件诱饵旨在制造一种虚假的紧迫感,通知收件人有关续订试用订阅(例如防病毒服务)的信息。这些消息还敦促他们联系他们的支持台以取消该计划,否则可能会自动收取该软件的高级版本的费用。 攻击的最终目标是以终止假定订阅或安装安全解决方案以清除机器恶意软件为幌子,实现对端点的远程访问,从而有效地为后续活动铺平道路。 运营商采用的另一种策略是在以 PayPal 为主题的活动中伪装成事件响应者,以欺骗呼叫者认为他们的帐户是从分布在世界各地随机位置的八台或更多设备访问的。 无论采用何种方案,都会提示受害者启动一个特定的 URL——一个特制的网站,旨在下载和执行恶意可执行文件,除其他文件外,该可执行文件还会丢弃合法的 ScreenConnect 远程桌面软件。 成功的持续访问之后,攻击者会打开虚假的取消表格,要求受害者填写个人详细信息并登录他们的银行账户以完成退款,但实际上是被骗将钱寄给了诈骗者。 这一发展发生在 Conti 勒索软件卡特尔的至少三个不同的衍生组织已经采用回调网络钓鱼技术作为入侵企业网络的初始入侵媒介。 与孔蒂的关系并没有就此结束。就 BazarBackdoor 而言,它是一个名为TrickBot的网络犯罪组织的创建,该组织于今年早些时候被Conti接管,之后 Conti在 2022 年 5 月至 6 月因效忠俄罗斯攻击乌克兰而被关闭。
