Các nhà khai thác đằng sau phương pháp lừa đảo gọi lại BazaCall đã tiếp tục phát triển với các chiến thuật kỹ thuật xã hội được cập nhật để triển khai phần mềm độc hại trên các mạng được nhắm mục tiêu.
Kế hoạch này cuối cùng hoạt động như một điểm vào để tiến hành gian lận tài chính hoặc cung cấp các tải trọng giai đoạn tiếp theo như ransomware, công ty an ninh mạng Trellix cho biết trong một báo cáo được công bố vào tuần trước.
Các mục tiêu chính của các đợt tấn công mới nhất bao gồm Mỹ, Canada, Trung Quốc, Ấn Độ, Nhật Bản, Đài Loan, Philippines và Anh.
BazaCall, còn được gọi là BazarCall, lần đầu tiên trở nên phổ biến vào năm 2020 nhờ cách tiếp cận mới lạ là phân phối phần mềm độc hại BazarBackdoor (hay còn gọi là BazarLoader) bằng cách thao túng các nạn nhân tiềm năng gọi đến một số điện thoại được chỉ định trong các email mồi nhử.
Những mồi nhử email này nhằm mục đích tạo ra cảm giác cấp bách sai lầm, thông báo cho người nhận về việc gia hạn đăng ký dùng thử cho một dịch vụ chống vi-rút. Các tin nhắn cũng kêu gọi họ liên hệ với bộ phận hỗ trợ của họ để hủy gói hoặc có nguy cơ bị tự động tính phí cho phiên bản cao cấp của phần mềm.
Mục tiêu cuối cùng của các cuộc tấn công là cho phép truy cập từ xa vào điểm cuối dưới vỏ bọc chấm dứt đăng ký được cho là hoặc cài đặt giải pháp bảo mật để loại bỏ phần mềm độc hại, mở đường hiệu quả cho các hoạt động tiếp theo.
Một chiến thuật khác được các nhà khai thác chấp nhận liên quan đến việc giả mạo là người ứng phó sự cố trong các chiến dịch theo chủ đề PayPal để đánh lừa người gọi nghĩ rằng tài khoản của họ đã được truy cập từ tám thiết bị trở lên trải rộng trên các vị trí ngẫu nhiên trên khắp thế giới.
Bất kể kịch bản được sử dụng là gì, nạn nhân được nhắc khởi chạy một URL cụ thể - một trang web được tạo đặc biệt được thiết kế để tải xuống và thực thi một tệp thực thi độc hại, trong số các tệp khác, cũng bỏ phần mềm máy tính từ xa ScreenConnect hợp pháp.
Truy cập liên tục thành công được theo sau bởi kẻ tấn công mở các biểu mẫu hủy bỏ giả mạo yêu cầu nạn nhân điền thông tin cá nhân và đăng nhập vào tài khoản ngân hàng của họ để hoàn tất việc hoàn lại tiền, nhưng trên thực tế bị lừa khi gửi tiền cho kẻ lừa đảo.
Sự phát triển diễn ra khi ít nhất ba nhóm phụ khác nhau từ băng đảng ransomware Conti đã chấp nhận kỹ thuật gọi lại lừa đảo như một vectơ xâm nhập ban đầu để xâm phạm mạng doanh nghiệp.
Mối quan hệ với Conti không dừng lại ở đó. Về phần mình, BazarBackdoor là việc thành lập một nhóm tội phạm mạng được gọi là TrickBot, được Conti tiếp quản vào đầu năm nay trước khi nhóm này đóng cửa vào năm 2022