Malware BazarLoader yang Merusak Komputer di Platform Streaming Film

Posting : 30 May 2021



Kampanye phishing yang populer mencoba membuat pengguna yakin bahwa mereka telah terdaftar di platform streaming film untuk memaksa pelanggan menghubungi nomor telepon untuk pembatalan - teknik yang berisi malware BazarLoader yang merusak komputer.

BazarLoader adalah pengunduh C ++ untuk memasang dan menjalankan modul lain.  Pada April 2020, BazarLoader pertama kali diamati oleh Proofpoint.

BazarLoader mengembangkan pintu belakang pada mesin Windows yang dapat dimanfaatkan untuk menyediakan akses awal ke serangan malware lainnya - bahkan ransomware.  Ryuk Ransomware umumnya dikirimkan melalui BazarLoader, yang dapat menimbulkan konsekuensi yang sangat berbahaya bagi kompromi yang berhasil di antara penjahat dunia maya.  Pengoperasian BazarLoader menuntut kontak manusia yang penting dalam implementasi dan pemasangan pintu belakang BazarLoader.

Operator ancaman menggunakan agen layanan pelanggan untuk mengarahkan korban mengunduh dan menginstal malware tanpa disadari.  Kampanye ini mewakili pola yang lebih luas yang digunakan sebagai bagian dari rantai serangan canggih oleh pelaku ancaman BazarLoader yang menggunakan pusat panggilan.

Tahap awal dari upaya tersebut, yang dirinci oleh penyelidik keamanan siber di Proofpoint, melibatkan pendistribusian puluhan ribu email phishing yang menyatakan berasal dari 'BravoMovies,' sebuah platform streaming film palsu yang dibuat oleh penjahat dunia maya sendiri.

Situs tersebut tampaknya masuk akal dan orang-orang di belakangnya membuat poster film palsu dengan menggunakan gambar-gambar sumber terbuka yang tersedia secara online - tetapi cara situs tersebut memiliki banyak kesalahan ortografik dapat menunjukkan bahwa ada sesuatu yang salah jika dilihat dengan sangat hati-hati.

Email yang diterima menyatakan bahwa korban telah berlangganan dan menagih $ 39,99 sebulan - tetapi jika mereka menghubungi nomor dukungan, langganan yang dicurigai itu dapat dihentikan.

Ketika pengguna menghubungi nomor yang terkait, profesional "layanan pelanggan" mengklaim untuk memandu mereka melalui prosedur penarikan - tetapi apa yang mereka lakukan memberi tahu korban tanpa disadari bagaimana mereka dapat menginstal BazaLoader pada sistem komputer mereka.

Ini dilakukan dengan mengarahkan penelepon ke situs web "Langganan", di mana bagian dari prosedur mengundang pengguna untuk mengeklik tautan unduhan Microsoft Excel.  Dokumen ini berisi makro yang akan mengunggah BazarLoader ke sistem secara diam-diam jika diaktifkan, menyebarkan malware di PC korban.

"Lampiran berbahaya sering diblokir oleh perangkat lunak pendeteksi ancaman. Dengan mengarahkan orang untuk menelepon pusat panggilan sebagai bagian dari rantai serangan, pelaku ancaman dapat melewati mekanisme deteksi ancaman yang akan menandai lampirannya sebagai spam," Sherrod DeGrippo, direktur senior  penelitian dan deteksi ancaman di Proofpoint, kata ZDNet.

"Rekayasa sosial adalah kunci untuk rantai serangan ini dan pelaku ancaman bergantung pada umpan rekayasa sosial mereka untuk menyebabkan penerima mengambil tindakan apa pun untuk menyelesaikan rantai serangan dan mendapatkan malware di mesin target," kata DeGrippo lebih lanjut.

Juga harus diperhatikan bahwa saat mendapatkan email yang mengklaim bahwa kartu kredit pengguna akan ditagih jika mereka tidak menjawab, dengan penciptaan rasa urgensi seperti ini adalah metode umum yang digunakan dalam operasi phishing untuk membuat  pengguna mematuhi instruksi.