微軟網(wǎng)絡(luò )安全研究人員正在尋找一個(gè)名為BazarCall的犯罪組織。該犯罪團伙正在利用呼叫中心用名為BazarLoader的惡意軟件感染計算機,該軟件已被用于分發(fā)勒索軟件。該勒索軟件背后的團伙自1月以來(lái)一直很活躍,值得注意的是,他們利用呼叫中心的操作員引導受害者在Windows電腦上安裝他們的軟件。
一旦安裝,該惡意軟件會(huì )提供進(jìn)入WindowsPC的后門(mén),允許犯罪分子發(fā)送后續惡意軟件,掃描環(huán)境,并利用網(wǎng)絡(luò )上的其他脆弱主機。這種攻擊通常從一封釣魚(yú)郵件開(kāi)始,告知受害者他們電腦上的軟件試用版已經(jīng)過(guò)期,除非他們打電話(huà)取消試用,否則將自動(dòng)收費。
微軟正在重點(diǎn)關(guān)注該組織針對Office365用戶(hù)發(fā)送的電子郵件。如果用戶(hù)撥打電子郵件中的號碼,攻擊者運營(yíng)的欺詐性呼叫中心會(huì )指示受害者訪(fǎng)問(wèn)一個(gè)網(wǎng)站并下載一個(gè)Excel文件來(lái)取消服務(wù)。在該下載的文件中,有一個(gè)惡意的宏,可以下載惡意軟件載荷,使勒索軟件得以安裝。
據了解,該組織還使用CobaltStrike滲透測試工具來(lái)竊取證書(shū),包括竊取活動(dòng)目錄數據庫的數據。竊取活動(dòng)目錄數據庫內容對企業(yè)用戶(hù)來(lái)說(shuō)是一個(gè)重大問(wèn)題,因為它包含了組織的身份和憑證信息。
