BazarCall

Conti Cybercrime Cartel Menggunakan Serangan Phishing ‘BazarCall’ sebagai Vektor Serangan Awal

August 12, 2022 by Eevee Leave a Comment

Tiga cabang dari kartel kejahatan dunia maya Conti yang terkenal kejam telah menggunakan teknik phishing panggilan balik sebagai vektor akses awal untuk menembus jaringan yang ditargetkan.

“Tiga kelompok ancaman otonom sejak itu mengadopsi dan secara independen mengembangkan taktik phishing bertarget mereka sendiri yang berasal dari metodologi phishing panggilan balik,” kata perusahaan keamanan siber AdvIntel dalam laporan hari Rabu.

Kampanye yang ditargetkan ini “meningkatkan secara substansial” serangan terhadap entitas di sektor keuangan, teknologi, hukum, dan asuransi, perusahaan menambahkan.

Aktor yang dimaksud termasuk Silent Ransom, Quantum, dan Roy/Zeon, yang semuanya berpisah dari Conti setelah kartel ransomware-as-a-service (RaaS) mengatur penutupannya pada Mei 2022 menyusul dukungan publiknya untuk Rusia di Russo yang sedang berlangsung. -Konflik Ukraina.

Taktik rekayasa sosial tingkat lanjut, juga disebut BazaCall (alias BazarCall), menjadi sorotan pada 2020/2021 ketika digunakan oleh operator ransomware Ryuk, yang kemudian diganti namanya menjadi Conti.

Dikatakan telah menerima peningkatan operasional yang substansial pada bulan Mei, sekitar waktu yang sama tim Conti sibuk mengoordinasikan restrukturisasi seluruh organisasi sambil mensimulasikan pergerakan kelompok yang aktif.

Serangan phishing juga unik karena menghilangkan tautan atau lampiran berbahaya dalam pesan email demi nomor telepon yang ditipu oleh penerima untuk menelepon dengan memberi tahu mereka tentang tagihan yang akan datang pada kartu kredit mereka untuk langganan premium.

Jika penerima target jatuh untuk skema dan memutuskan untuk memanggil nomor telepon yang ditunjukkan dalam email, orang sungguhan dari pusat panggilan palsu yang didirikan oleh operator BazaCall mencoba meyakinkan korban untuk memberikan kontrol desktop jarak jauh kepada petugas layanan pelanggan untuk membantu membatalkan langganan yang seharusnya.

Dengan akses ke desktop, pelaku ancaman diam-diam mengambil langkah untuk menyusup ke jaringan pengguna serta membangun ketekunan untuk aktivitas lanjutan seperti eksfiltrasi data.

“Phishing panggilan balik adalah taktik yang memungkinkan perubahan luas dalam pendekatan penyebaran ransomware,” kata AdvIntel, menambahkan “vektor serangan secara intrinsik tertanam ke dalam tradisi organisasi Conti.”

Silent Ransom, “nenek moyang BazarCall” dan grup turunan pertama yang pindah dari Conti pada Maret 2022, sejak itu telah dikaitkan dengan serangkaian serangan pemerasan data yang memerlukan akses awal melalui email kedaluwarsa langganan yang mengklaim memberi tahu pengguna tentang penundaan pembayaran untuk layanan Zoho Masterclass dan Duolingo.

“Serangan ini dapat dikategorikan sebagai serangan pelanggaran data tebusan, di mana fokus utama kelompok ini adalah untuk mendapatkan akses ke dokumen dan informasi sensitif, dan meminta pembayaran untuk menahan publikasi data yang dicuri,” kata Sygnia bulan lalu, menggambarkan infeksi tersebut. prosedur.

Sumber: The Hacker News

Microsoft Memperingatkan Bahwa Peretas Menggunakan Call Center untuk Menipu Pengguna agar Mengunduh Ransomware

June 24, 2021 by Winnie the Pooh

Microsoft memperingatkan bahwa kelompok kejahatan siber bernama BazarCall menggunakan pusat panggilan untuk mengelabui pengguna agar menginstal malware yang kuat, ZDNet melaporkan pada hari Rabu.

Malware yang dimaksud, yang dikenal sebagai BazarLoader, telah digunakan untuk mendistribusikan ransomware, yang mengenkripsi komputer atau sistem file jaringan yang ditargetkan dan biasanya mengirimkan permintaan tebusan yang harus dibayar dalam mata uang kripto untuk menyelamatkannya.

Menurut analis intelijen ancaman Palo Alto Networks Brad Duncan, BazarLoader “menyediakan akses pintu belakang ke host Windows yang terinfeksi” dan infeksi biasanya “mengikuti pola aktivitas yang berbeda.” Sejak Februari 2021, tulis Duncan, peneliti keamanan telah memperhatikan pola aktivitas call center yang tidak biasa dalam infeksi BazarLoader.

Duncan menulis bahwa langkah pertama dalam rantai itu adalah email phishing yang menginformasikan target bahwa langganan percobaan untuk beberapa layanan telah berakhir dan akan segera ditagih, mencantumkan nomor telepon untuk dukungan pelanggan.

Saat dihubungi, operator pusat panggilan mengarahkan target untuk mengunduh spreadsheet Excel yang terinfeksi, mengaktifkan makro di dalamnya, dan kemudian memberi tahu mereka bahwa mereka telah berhasil berhenti berlangganan dari layanan. Tanpa sepengetahuan target, BazarLoader sekarang mengendalikan mesin mereka dan dapat mengunduh malware apa pun yang diinginkan orang yang berada di balik peretasan tersebut.

Selengkapnya: Gizmodo

Malware BazarCall menggunakan call center berbahaya untuk menginfeksi korban

April 1, 2021 by Winnie the Pooh

Selama dua bulan terakhir, peneliti keamanan telah melakukan pertempuran online melawan malware ‘BazarCall’ baru yang menggunakan pusat panggilan (call center) untuk mendistribusikan beberapa malware Windows yang paling merusak.

Malware baru ditemukan sedang didistribusikan oleh pusat panggilan pada akhir Januari dan diberi nama BazarCall, atau BazaCall, karena pelaku ancaman awalnya menggunakannya untuk menginstal malware BazarLoader.

Seperti banyak kampanye malware lainnya, BazarCall dimulai dengan email phishing tetapi dari sana menyimpang ke metode distribusi baru – menggunakan pusat panggilan telepon untuk mendistribusikan dokumen Excel berbahaya yang menginstal malware.

Alih-alih mengirimkan lampiran dengan email, email BazarCall meminta pengguna untuk menghubungi nomor telepon untuk membatalkan langganan sebelum mereka ditagih secara otomatis. Pusat panggilan ini kemudian akan mengarahkan pengguna ke situs web yang dibuat khusus untuk mengunduh “formulir pembatalan” yang menginstal malware BazarCall.

Sementara sebagian besar email yang dilihat oleh BleepingComputer berasal dari perusahaan fiktif bernama “Medical reminder service, Inc.”, email tersebut juga menggunakan nama perusahaan palsu lainnya seperti ‘iMed Service, Inc.’, ‘Blue Cart Service, Inc . ‘, dan ‘iMers, Inc. ‘

Semua email ini menggunakan subjek yang mirip seperti “Terima kasih telah menggunakan uji coba gratis Anda” atau “Masa uji coba gratis Anda hampir berakhir!” Peneliti keamanan ExecuteMalware telah mengumpulkan daftar subjek email yang lebih luas yang digunakan oleh serangan ini.

Selengkapnya: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

BazarCall

Cookies Settings