Malware BazaLoader Didistribusikan oleh Peretas Menggunakan Situs Streaming Palsu

  • Whatsapp
Malware BazaLoader Didistribusikan oleh Peretas Menggunakan Situs Streaming Palsu

 

Proofpoint mengidentifikasi upaya phishing pada awal Mei, yang mengharuskan peretas membuat situs web streaming film palsu bernama BravoMovies dan mengisinya dengan poster film palsu dan materi lain untuk membuatnya tampak nyata bagi pengunjung yang tidak waspada. Tidak ada yang ditawarkan untuk diunduh selain malware BazaLoader, meskipun gambarnya cantik dan judulnya terdengar menyenangkan. BazaLoader adalah pemuat malware yang digunakan untuk menyebarkan ransomware dan jenis malware lainnya, serta mencuri data sensitif dari komputer yang terinfeksi.
“BazaLoader adalah pengunduh yang ditulis dalam C++ yang digunakan untuk mengunduh dan menjalankan modul tambahan. Proofpoint pertama kali mengamati BazaLoader pada April 2020. Saat ini digunakan oleh banyak pelaku ancaman dan sering berfungsi sebagai pemuat malware pengganggu termasuk ransomware Ryuk dan Conti. Proofpoint menilai dengan keyakinan tinggi ada tumpang tindih yang kuat antara distribusi dan aktivitas pasca-eksploitasi BazaLoader dan aktor ancaman di balik malware The Trick, juga dikenal sebagai Trickbot,” kata perusahaan keamanan itu.
Kampanye BravoMovies menggunakan rantai infeksi kompleks yang serupa dengan yang digunakan oleh afiliasi BazaLoader, yang membujuk korbannya untuk melompati serangkaian rintangan untuk mengaktifkan muatan malware. Ini dimulai dengan email yang memberi tahu penerima bahwa kartu kredit mereka akan didebit sampai mereka membatalkan langganan layanan, yang tidak pernah mereka setujui.
Email tersebut mencakup nomor telepon untuk pusat panggilan dengan orang-orang langsung di ujung telepon yang lain, yang siap mengirim konsumen ke situs web tempat mereka konon membatalkan langganan streaming film palsu. Mereka yang jatuh untuk trik, di sisi lain, diarahkan untuk mengunduh spreadsheet Excel boobytrapped yang akan memicu makro yang akan mengunduh BazaLoader.
Staf pusat panggilan menyarankan pelanggan mereka ke situs web BravoMovies, di mana mereka harus pergi ke halaman Pertanyaan yang Sering Diajukan dan berhenti berlangganan menggunakan halaman “Berlangganan”. Mereka kemudian akan diarahkan untuk mengunduh spreadsheet Excel. Jika BazaLoader diaktifkan, makro pada lembar Excel akan mengunduhnya. Muatan tahap kedua dalam kampanye ini belum ditemukan, menurut para ahli Proofpoint.
Peneliti Proofpoint pertama kali memperhatikan penggunaan BazaLoader pada Februari 2021, ketika serangan malware pra-Hari Valentine memasok umpan ke toko bunga dan pakaian dalam palsu. Itu juga terlihat dalam kampanye untuk layanan farmasi berlangganan.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *