This post is also available in: Português
E-mails de phishing do BazaLoader induzem vítimas a ligarem para um call center falso, sendo enganadas por golpistas que as convencem a baixar arquivos infectados.
A evolução da Internet levou à migração de tantos serviços para o meio virtual que algumas ferramentas parecem ter sido aposentadas. Ligações telefônicas, por exemplo, ficaram tão raras que se tornaram símbolo de contato profissional e telemarketing, já que nas conversas pessoais os aplicativos de mensagens tomaram conta. E esse contexto não passou despercebido pelos criminosos virtuais.
Tanto é que uma campanha de phishing está tentando fazer as vítimas acreditarem que assinaram um serviço de streaming de filmes, com o intuito de levá-las a ligar para um número de telefone que cancela a suposta assinatura. Mas quem liga é guiado por um cibercriminoso em um procedimento que infecta seu computador com o malware BazaLoader.
O BazaLoader cria um backdoor em máquinas com Windows, que pode ser usado como um vetor de acesso inicial para realizar ataques de malware adicionais. O famoso ransomware Ryuk, por exemplo, é normalmente entregue via BazaLoader. Isso significa que, se a vítima cair no golpe da ligação, pode haver consequências extremamente prejudiciais.
BazaLoader possui difícil detecção
De fato, a campanha do BazaLoader baseada nessa interação humana – e em uma intrincada cadeia de ataques – diminui a chance de o malware ser detectado. Assim, o primeiro estágio da campanha envolve a distribuição de milhares de e-mails de phishing que dizem ser da BravoMovies, um serviço fake de streaming de vídeo desenvolvido por cibercriminosos.
Para aumentar as chances de sucesso do golpe, à primeira vista o site é bem convincente. Inclusive utiliza pôsteres de filmes usando imagens de código aberto disponíveis online. Contudo, os diversos erros de ortografia podem sugerir que algo não está certo, já que serviços legítimos costumam passar por diversas correções antes de serem publicados.
O e-mail afirma que a vítima se inscreveu para um período de teste, e que serão cobrados US$ 39,99 por mês – mas avisa também que essa suposta assinatura pode ser cancelada sem custos se a pessoa ligar para o suporte.
Quando o usuário ligar para o número, será atendido pelo “representante do serviço ao cliente”, que vai orientá-lo durante o processo de cancelamento da assinatura. Entretanto, é um golpista que vai dizer à vítima como instalar o BazaLoader em seu computador – sem que ela perceba nada.
Isso é feito levando a pessoa para uma “Página de Assinatura”, onde parte do processo é clicar em um link que baixa uma “inocente” planilha do Microsoft Excel. Esse documento contém macros que, se ativadas, baixam secretamente o BazaLoader na máquina, infectando o PC da vítima com malware.
Mais chances de sucesso
Em um primeiro momento, a ligação exige mais esforço dos invasores. Mas direcionar os usuários para uma carga fora do e-mail de phishing inicial torna o malware mais difícil de ser detectado durante o download e a instalação.
Afinal, anexos maliciosos são frequentemente bloqueados por softwares de detecção de ameaças. Entretanto, uma ligação telefônica como parte do ataque ajuda a driblar os mecanismos de defesa que, de outra forma, sinalizariam os anexos como spam.
No entanto, isso diminui a probabilidade de uma vítima se envolver com o conteúdo, e exige mais tempo e dedicação por parte dos cibercriminosos. A questão é que, para os invasores, o menor risco de o ataque ser descoberto faz com que esse trabalho extra valha a pena.
Para ajudar a proteger os usuários de ataques de phishing em empresas, as equipes de segurança digital devem treinar os colaboradores para detectar e relatar e-mails maliciosos. Também é importante lembrar que o senso de urgência criado pelo e-mail em questão – ter que ligar para evitar pagar quase 40 dólares – é uma técnica comum usada em campanhas de phishing para enganar o usuário, fazendo com que baixe a guarda e siga as instruções.
A raridade da ligação telefônica envolvida torna o golpe menos detectável, bem como a planilha do Excel utilizada na fraude. Nem todos sabem que arquivos do tipo podem ser perigosos, o que reforça o fato de que é preciso investir em treinamento sempre. Do contrário, ações criminosas como essas podem continuar parecendo legítimas, infectando cada vez mais computadores de pessoas e empresas.
This post is also available in: Português
