Aktuelles, Branche - geschrieben von dp am Montag, Juni 21, 2021 14:42 - noch keine Kommentare
BazarLoader: Call-Center helfen bei Verbreitung der Malware
Palo Alto Networks warnt vor BazarCall-Methode
[datensicherheit.de, 21.06.2021] Palo Alto Networks warnt nach eigenen Angaben aktuell vor einer neuen Methode, mit der Cyber-Kriminelle gezielt Malware verbreiten. „BazarLoader“ (manchmal auch als „BazaLoader“ bezeichnet) sei eine Malware, welche „Backdoor“-Zugang zu einem infizierten „Windows“-Host biete. Nachdem ein Client infiziert ist, nutzten Kriminelle diesen „Backdoor“-Zugang, um Folge-Malware zu versenden, die Umgebung zu scannen und andere anfällige Hosts im Netzwerk auszunutzen. Palo Alto Networks habe sie eigenen Erkenntnisse, einschließlich der in diesem Bericht beschriebenen Dateimuster und Kompromittierungsindikatoren, mit den anderen Mitgliedern der Cyber Threat Alliance (CTA) geteilt. CTA-Mitglieder nutzten diese Erkenntnisse, um ihren Kunden schnell Schutzmaßnahmen bereitzustellen und böswillige Cyber-Akteure systematisch zu stören.
BazarCall-Methode: call-center-basierter Prozess zur Infizierung von Computern mit BazarLoader
Der Kriminelle hinter „BazarLoader“ verwende verschiedene Methoden, um diese Malware an potenzielle Opfer zu verteilen. Anfang Februar 2021 hätten Forscher von einer call-center-basierten Methode zur Verbreitung von „BazarLoader“ berichtet. Bei dieser Methode würden E-Mails mit einem auf einem Testabonnement basierenden Thema verwendet, welches potenzielle Opfer dazu auffordere, eine Telefonnummer anzurufen:
„Ein Call-Center-Betreiber meldet sich dann und leitet die Opfer auf eine Website, auf der sie sich von dem Dienst abmelden können.“ Die Call-Center-Betreiber böten den Opfern an, sie persönlich durch einen Prozess zu führen, der darauf abziele, anfällige Computer mit „BazarLoader“ zu infizieren. Dieser call-center-basierte Prozess zur Infizierung von Computern mit „BazarLoader“ sei als „BazarCall“-Methode bezeichnet worden (manchmal auch „BazaCall“-Methode).
Ereigniskette bei Infektionen der BazarCall-Methode
„BazarCall“-Infektionen folgen laut Palo Alto Networks einem bestimmten Aktivitätsmuster:
- Eine auf ein Probeabonnement bezogene E-Mail mit einer Telefonnummer eines Call-Centers zur Unterstützung.
- Das Opfer ruft die Telefonnummer aus der E-Mail an.
- Der Mitarbeiter des Call-Centers leitet das Opfer auf eine gefälschte Unternehmenswebsite.
- Das Opfer lädt eine „Microsoft Excel“-Datei von dieser Website herunter.
- Der Call-Center-Mitarbeiter weist das Opfer an, Makros in der heruntergeladenen „Excel“-Datei zu aktivieren.
- Der anfällige „Windows“-Computer wird mit der „BazarLoader“-Malware infiziert.
- Der Call-Center-Mitarbeiter teilt dem Opfer dann mit, dass die Abmeldung erfolgreich war.
- „BazarLoader“ generiert Befehls- und Kontrollverkehr (C2) vom infizierten „Windows“-Host.
- Der „Backdoor“-Zugang über „BazarLoader“ führt zu Aktivitäten nach der Infektion.
In diesen E-Mails werde mitgeteilt, „dass das Probeabonnement des Opfers endet und die Kreditkarte des Opfers belastet wird“. Die Telefonnummern in diesen E-Mails änderten sich mindestens täglich. Gelegentlich hätten Forscher von Palo Alto Networks beobachtet, „dass zwei oder mehr Nummern an einem einzigen Tag erscheinen“.
BazarLoader-Malware zu Befall mit Cobalt Strike und dann Anchor führen
„BazarLoader“ biete „Backdoor“-Zugriff auf einen infizierten „Windows“-Host. In einigen Fällen werde „Cobalt Strike“ als Folge-Malware eingesetzt, welche dann zu anderer Malware wie „Anchor“ führe. Es seien mindestens zwei Fälle öffentlich dokumentiert worden, in denen „BazarLoader“-Malware zu „Cobalt Strike“ und dann zu „Anchor“-Malware geführt habe – ein Fall habe sich im Februar 2021 ereignet, der andere im März 2021.
„BazarLoader“ sei jedoch nicht nur auf „Cobalt Strike“ und „Anchor“ als Folge-Malware beschränkt. Im Jahr 2020 habe es Berichte über „BazarLoader“-Fälle gegeben, welche zu Ransomware wie „Ryuk“ geführt hätten. Der „Backdoor“-Zugang zu einem infizierten „Windows“-Host könne zu jeder Malware-Familie führen.
Fazit von Palo Alto Networks zum aktuellen BazarLoader-Erkenntnisstand
Bereits im Februar 2021 habe es mehrere Berichte über die „BazarCall“-Methode gegeben, bei der „BazarLoader“-Malware über Call-Center-Mitarbeiter verteilt werde. Diese Infektionen folgten auffälligen Mustern, und sie könnten zu anderer Malware wie „Cobalt Strike“, „Anchor“ und „Ryuk“-Ransomware führen.
Unternehmen mit einer guten Spam-Filterung, einer ordnungsgemäßen Systemadministration und aktuellen „Windows“-Hosts hätten ein deutlich geringeres Risiko einer Infektion durch „BazarLoader“-Malware und deren Aktivitäten nach der Infektion. Kunden von „Palo Alto Networks Next-Generation Firewall“ seien mit einem Sicherheitsabonnement für „Threat Prevention“ zusätzlich vor dieser Bedrohung geschützt.
Weitere Informationen zum Thema:
malpedia
BazarBackdoor
TheAnalyst auf Twitter
I’m dubbing the recent #BazaLoader #BazarLoader campaigns involving social engineering and call centers as #BazarCall
malware-traffic-analysis.net auf YouTube
2021-03-29 BazaCall (BazarCall) Example
malpedia
Anchor
The DFIR Report, 08.03.2021
Bazar Drops the Anchor
TREND MICRO, 04.11.2020
Ryuk 2020: Distributing Ransomware via TrickBot and BazarLoader
Aktuelles, Experten - Juli 10, 2025 7:15 - noch keine Kommentare
Bitkom-Transparenzbericht 2025 veröffentlicht
weitere Beiträge in Experten
- Urlaubsfotos in Sozialen Medien: Nur fünf Prozent machen Kindergesichter unkenntlich
- Blaupause für Deutschland: Hessens Rechenzentren-Strategie als Vorbild
- VDI-Forderung nach gezielter KI-Kompetenz für Ingenieurarbeit
- NIS-2: Vereinheitlichung der Meldewege für IT-Sicherheitsvorfälle und Datenpannen gefordert
- NIS-2: DAV-Forderung nach Einbindung der Cloud-Anbieter
Aktuelles, Branche, Studien - Juli 11, 2025 1:10 - noch keine Kommentare
Online-Betrug in Deutschland: 10,6 Milliarden Euro Verlust in zwölf Monaten
weitere Beiträge in Branche
- Dragos’ Ransomware-Analyse: 68 Prozent der Angriffe im ersten Quartal 2025 trafen die Fertigung
- KI droht zur größten Cyberbedrohung zu werden
- Schutz vor Auswirkungen von GNSS-Störungen: Kevin Heneka begrüßt EU-Vorschlag
- DigiCert-Umfrage: Manuelle Zertifikatsprozesse führen zu Ausfällen, Compliance-Fehlern und hohen Verlusten im Unternehmen
- ePA-Einführung voraus – doch Gesundheitsdienstleister kämpfen noch immer mit IT-Problemen
Aktuelles, Branche, Umfragen - Juli 9, 2025 19:03 - noch keine Kommentare
DigiCert-Umfrage: Manuelle Zertifikatsprozesse führen zu Ausfällen, Compliance-Fehlern und hohen Verlusten im Unternehmen
weitere Beiträge in Service
- Threat Hunting: Bedeutung und Wertschätzung steigt
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
Kommentieren