虚假呼叫中心诱骗用户安装勒索软件和数据窃取程序

一项正在进行的利用虚假呼叫中心的恶意活动已被发现诱使受害者下载能够窃取数据的恶意软件，并在受感染的系统上部署勒索软件。

这些被称为“BazaCall”的攻击避开了依赖流氓 URL 和带有恶意软件的文档的传统社会工程技术，转而采用类似 vishing 的方法，其中向目标用户发送电子邮件，通知他们即将收取订阅费用，除非他们致电特定的电话号码。

通过欺骗接收者拨打该号码，毫无戒心的受害者与欺诈呼叫中心的实际操作员联系起来，然后他们向他们提供下载 BazaLoader 恶意软件的说明。

BazaLoader是一种 C++ 下载器恶意软件，能够在受感染的计算机上安装各种类型的恶意程序，包括部署勒索软件和其他恶意软件以及从受害系统窃取敏感数据。BazaLoader 活动于 2020 年 4 月首次被观察到，已被多个威胁参与者使用，并经常充当破坏性恶意软件的加载程序，包括 Ryuk 和 Conti 勒索软件。

BazaCall Attack Flow

微软 365 Defender 威胁情报团队在周四发布的一份报告中表示：“源自 BazaCall 威胁的攻击可能会在网络内快速移动，进行广泛的数据泄露和凭据盗窃，并在初始入侵后的 48 小时内分发勒索软件。”

由于恶意软件不是通过邮件正文中的链接或文档分发的，因此诱饵增加了一定程度的难度，使攻击者能够避开网络钓鱼和恶意软件检测软件。该活动是更广泛趋势的一部分，在这种趋势中，与 BazaLoader 有关联的犯罪分子使用呼叫中心（运营商看似非英语母语）作为复杂攻击链的一部分。

Post-Compromise Activities

今年 5 月初，Palo Alto Networks和Proofpoint披露了一种精心设计的感染机制，该机制利用假电子书（World Books）和电影流媒体订阅服务（BravoMovies），利用这些网站作为垫脚石，提供包含 BazaLoader 恶意软件的操纵 Excel 电子表格。微软披露的最新攻击没有什么不同，呼叫中心代理充当渠道，敦促呼叫者浏览食谱网站（“topcooks[.]us”）以取消不存在的试用订阅。

研究人员说：“通过上述手动键盘控制，在 BazaCall 的攻击链中使用另一种人为因素，进一步使这种威胁比传统的自动恶意软件攻击更加危险和规避性更强。” “BazaCall 活动强调了跨域光学的重要性以及关联事件的能力，以构建针对复杂威胁的全面防御。”