BazaLoader : un faux centre d’appel SAV tenu par des hackers

Une campagne de phishing prolifique tente de faire croire aux cibles qu’ils ont souscrit un abonnement de streaming vidéo. Les hackers leur indiquent ensuite un faux numéro de service client à appeler pour se désabonner. Le SAV guide alors les victimes vers le téléchargement de BazaLoader, une charge utile malveillante couramment utilisée dans les attaques de ransomware. 

Des dizaines de milliers d’e-mails de phishing déjà distribués

Cette dernière campagne BazaLoader est basée sur l’interaction humaine et une chaîne d’attaque complexe qui réduit le risque de détection du malware. Détaillée par les chercheurs en cybersécurité de Proofpoint, la première étape de la campagne implique la distribution de dizaines de milliers d’e-mails de phishing censés provenir de BravoMovies, un faux service de streaming vidéo constitué par des cybercriminels.

BazaLoader crée une porte dérobée sur les machines Windows qui peut être utilisée comme vecteur d’accès initial pour lancer des attaques de malware supplémentaires, y compris les ransomwares. Le célèbre ransomware Ryuk est généralement livré via BazaLoader. Autrement dit, si les cybercriminels réussissent un compromis, les  conséquences peuvent être extrêmement dommageables.

Un processus bien ficelé

Enrichi de fausses affiches de film réalisées avec des images open source, le site web semble convaincant malgré les nombreuses fautes d’orthographe qui pourraient avertir les plus vigilants. L’email affirme que la victime s’est inscrite pour une période d’essai et qu’elle sera facturée 39,99 dollars par mois. L’émail indique également que le supposé abonnement  peut être annulé en appelant le service client indiqué.

En appelant le numéro, la victime est reçue par un opérateur du service client qui prétend le guider tout au long du processus de désabonnement. En réalité, pour le hacker, cette technique lui permet d’amener la cible à installer involontairement BazaLoader sur son ordinateur. Pour ce faire, le pirate dirige son interlocuteur vers une page « Abonnement », où une partie du processus l’incite à cliquer sur un lien qui télécharge une feuille de calcul Microsoft Excel. Ce document contient des macros qui, si elles sont activées, téléchargeront secrètement BazaLoader sur la machine, infectant le PC de la victime avec des malwares.

Contourner les mécanismes de détection des menaces

Diriger les utilisateurs vers une charge utile loin de l’e-mail de phishing initial demande plus d’effort aux attaquants. Mais cela rend le malware plus difficile à détecter pendant le processus de téléchargement et d’installation. Les pièces jointes malveillantes sont souvent bloquées par les logiciels de détection des menaces. Avec la technique du centre d’appel, les auteurs de la menace peuvent contourner ces mécanismes défense qui auraient pu classer les emails dans le spam.

Cependant, cela réduit considérablement la probabilité qu’une victime s’engage avec le contenu. L’ingénierie sociale est la clé de cette chaîne d’attaque. Les acteurs de la menace dépendent de leurs leurres pour amener les destinataires à prendre des mesures pour compléter la chaîne d’attaque et obtenir le malware sur la machine de la cible. Pour aider les utilisateurs et les organisations à se protéger de ces attaques de phishing et de l’ingénierie sociale, les équipes de sécurité des informations doivent former les utilisateurs à détecter et signaler les emails malveillants.