Для прицельного заражения ПК хакеры развернули колл-центр с инструкторами

Мошенники рассылают фишинговые письма с сообщением о вымышленных подписках и телефонными номерами, по которым нужно позвонить, чтобы «отписаться» от дорогостоящих услуг. Дальше жертв заманивают на сайт, с которого им скачивается вредоносный файл Excel.

Хакерский call-центр

С начала февраля 2021 г. некая кибергруппировка распространяет особо вредоносное ПО под кодовым названием BazarCall или BazaCall, чьи операторы используют целый call-центр в качестве одного из компонентов атаки.

Сама по себе атака начинается с фишингового письма, но весьма нестандартного. В нем говорится, что пользователь якобы подписался на какую-то услугу с бесплатным пробным периодом, и что этот период истек, но подписка будет обновлена автоматически, если не позвонить по такому-то телефону. Никаких подробностей о том, что это за услуга, не приводится, зато говорится, что со счета потенциальной жертвы будет списана сумма в размере $69,99-89,99, что в целом довольно чувствительно для любого человека со средним достатком.

Большая часть таких писем исходит якобы от медицинской компании (Medical reminder service, Inc. или iMed Services, Inc.) или от компаний Blue Cart Services, Inc., iMers, Inc. и т. п.

Киберзлоумышленники задействовали call-центр для распространения троянцев

Если потенциальная жертва позвонит по предложенному телефону, ей ответит человек, который запросит дополнительную информацию, в частности, уникальный идентификатор, содержащийся в письме. Видимо, злоумышленники так пытаются удостовериться, что разговаривают с тем, кто им нужен.

Если идентификатор верен, жертву перенаправляют на некий веб-сайт под контролем злоумышленников, на котором появляется поле с предложением «отписаться». Если жертва вводит правильный идентификатор и нажимает кнопку Submit (отправить), ей предлагается скачать файл Excel, причем остающийся на связи оператор call-центра прилагает все усилия, чтобы жертва не соскочила с крючка, открыла файл и активировала макросы (Enable Content).

В некоторых случаях оператор call-центра еще и настоятельно рекомендует временно отключить антивирус, чтобы заражение произошло уже наверняка.

Троянцы и шифровальщики

BazarCall получил свое исходное название в связи с тем, что изначально использовался для распространения вредоноса BazarLoader, троянца-загрузчика, обеспечивавшего затем попадание на компьютеры жертв шифровальщиков Ryuk или Conti. Сейчас BazarCall используется также для распространения TrickBot, IcedID, GoziIFSB и других вредоносных программ, которые, в свою очередь, загружают или загружали такие шифровальщики как почивший Maze и Egregor.

Из-за активных действий экспертов по кибербезопасности злоумышленникам приходится постоянно менять телефонные номера call-центров и хостинги. Однако, по-видимому, метод фишинговых звонков по-прежнему очень эффективен, а количество обнаружений удручающе низко.

«Метод работы через мошеннический call-центр действительно намного эффективнее, чем просто фишинговые письма, настолько же, насколько личный контакт эффективнее переписки, — говорит Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. — Как правило, на той стороне провода сидят люди, хорошо разбирающиеся в психологии и способные очень результативно манипулировать своими собеседниками, добиваясь от них совершения всех необходимых им действий. И если сейчас этим занимаются одна-две группировки, в будущем такой метод атак получит очень широкую популярность».