Злоумышленники распространяют BazarLoader через поддельный стриминговый сервис
28/05/21
Исследователи в области кибербезопасности из фирмы Proofpoint обнаружили новую фишинговую кампанию операторов BazarLoader. Преступники обходят автоматические системы обнаружения угроз и заражают системы вредоносным ПО BazarLoader, используемым группировкой TrickBot.
В рамках новой кампании, получившей название BazaFlix, злоумышленники распространяют электронные письма от лица стриминговых сервисов. В письмах сообщалось, что срок действия пробной или демонстрационной версии подписки истек и с платежной карты пользователя будет взиматься плата за премиальный план.
В электронных письмах указан номер телефона, по которому получатели могут позвонить и отменить подписку. Злоумышленники на другом конце линии предлагают перейти на web-сайт стримингового сервиса BravoMovies от компании UrbanCinema. Сайт выглядит достаточно реалистично с использованием постеров к фильмам из различных общедоступных источников.
Следуя инструкциям по отказу от подписки на стриминговые сервисы BravosMovies, пользователи загружают зараженный документ Microsoft Excel с макросами, которые устанавливают вредоносное ПО BazarLoader. После заражения системы операторы BazarLoader могут предоставлять доступ различным киберпреступным группировкам, в том числе операторам вымогательского ПО.