BazaFlix: BazaLoader maakt nep-film streaming service

• Onderzoekers van Proofpoint hebben een BazaLoader-campagne ontdekt waarbij een criminele organisatie telefonische klantenservicemedewerkers inschakelde om slachtoffers de opdracht te geven de malware onbewust te downloaden en te installeren.
• Deze campagne is representatief voor een bredere trend van BazaLoader-aanvallers die gebruikmaken van callcenters als onderdeel van een ingewikkelde aanvalsketen.
• De campagne werd begin mei 2021 voor het eerst waargenomen en deed zich voor als een streaming entertainmentdienst, compleet met een gelikte website met nepfilms.
• De campagne laat een omgekeerd evenredig verband zien tussen het aantal succesvolle infecties en de vraag aan mensen om ingewikkelde stappen te voltooien - hoe meer stappen de gebruiker moet doorlopen, hoe kleiner de kans dat hij de aanvalsketen voltooit.

Infection Chain

Citaat van Sherrod DeGrippo, Senior Director, Threat Research and Detection, Proofpoint over de meest recente Bazaloader-bevindingen:

"We hebben nog niet eerder een hele nep-streamingsite zien ontstaan. Dit is een creatief volgend niveau van social engineering. Het gebruik van telefoongesprekken als een manier om malware te verspreiden is ook niet uniek - "tech support scams" zijn er al jaren. Maar wat we zien bij BazaLoader is anders: het is meer op maat gemaakt en gebruikt e-mail als een eerste lokmiddel. Cybercriminelen worden steeds vindingrijker in het verspreiden van malware. Dit komt doordat organisaties zo veel beschermingsmaatregelen nemen om dit soort aanvallen tegen te houden. Social engineering is een methode die al tientallen jaren beproefd is en het creëren van ingewikkelde social engineering-oplossingen zal een tactiek blijven die bedreigers gebruiken. Het doel is de beoogde ontvanger in een zodanige gemoedstoestand te brengen dat deze een actie, of een aantal acties, onderneemt. Een aanvalsketen met een callcenter is zeker een nieuwe manier om de malware af te leveren.”

Details van de campagne
In de recente BazaLoader-campagne lijken de berichten afkomstig te zijn van verschillende afzenders met onderwerpen als:

• Uw proefperiode M0012064753012345 zal binnenkort aflopen. Gelukkig heeft u besloten bij ons te blijven!
• Demo fase is verlopen! Uw account #M0272028060812345 zal automatisch worden overgezet naar het premium plan!

Figuur 1: Eerste e-mail van BazaLoader vermomd als een entertainment streaming dienst.

De e-mails bevatten telefoonnummers en verwijzingen naar het bedrijf "BravoMovies". De berichten zijn bedoeld om de ontvangers te melden dat hun creditcard zal worden belast tenzij zij hun abonnement op de dienst annuleren. Als de gebruiker het telefoonnummer belt dat in de e-mail wordt vermeld, zal een medewerker van de klantenservice de gebruiker mondeling naar de vermeende website van het bedrijf leiden.

De website is een overtuigende weergave van een film- en televisiestreamingdienst. De aanvallers maakten gebruik van nepfilmposters die van verschillende open-sourcebronnen waren verkregen.


Figuur 2: BravoMovies landingspagina

Wanneer de gebruiker de genoemde site bezoekt, naar de Frequently Asked Questions gaat en de aanwijzingen volgt om zich uit te schrijven, wordt hij naar de download van een Excelsheet geleid.

De Excelsheet bevat macro's die, indien ingeschakeld, BazaLoader zullen downloaden.



Figuur 3: FAQ-pagina met annuleringsinstructies


Figuur 4: Neppagina voor het annuleren van een abonnement


Figuur 5: Malafide Excelsheet

Op dit moment heeft Proofpoint nog geen secundaire fase van deze campagne waargenomen.

Aanverwante campagnes

• Proofpoint heeft sinds februari 2021 BazarLoader-criminelen gezien die de methode van telefonische klantenservicevertegenwoordigers gebruiken om kwaadaardige downloads te begeleiden - "BazarCall" genoemd.
• Proofpoint heeft eerder BazaLoader-dreigingscampagnes per e-mail waargenomen die aanzienlijke menselijke interactie vereisen om de malware uit te voeren.
• Bovendien hebben onderzoekers van Proofpoint soortgelijke infectieketens waargenomen die leiden tot de verspreiding van The Trick in plaats van BazaLoader. Door gebruik te maken van aanvalsketens die veel menselijke interactie vereisen, kunnen dreigingsactoren sommige geautomatiseerde bedreigingsdetectiediensten omzeilen die alleen schadelijke koppelingen of bijlagen signaleren.
• Proofpoint verwacht dat de dreigingsactoren achter BazaLoader en The Trick deze technieken zullen blijven gebruiken in toekomstige campagnes.

Gebruik maken van entertainmentabonnementen kan een snelle en doeltreffende methode zijn om gebruikers ervan te overtuigen de inhoud van de e-mail en de daaropvolgende kwaadaardige documenten te lezen. Tijdens de COVID-19 pandemie in 2020 schoot het aantal abonnementen op online streamingdiensten omhoog. Maar volgens recente gegevens gebruiken consumenten nu minder betaalde diensten, terwijl ze gratis abonnementen verslinden en opzeggen wanneer hun proefperiode afloopt.

BazaLoader-dreigingsactoren maken in de ontdekte campagne gebruik van deze trend in menselijk gedrag.