BazarLoader: Call-Center helfen bei Verbreitung der Malware

Palo Alto Networks warnt vor BazarCall-Methode

[datensicherheit.de, 21.06.2021] Palo Alto Networks warnt nach eigenen Angaben aktuell vor einer neuen Methode, mit der Cyber-Kriminelle gezielt Malware verbreiten. „BazarLoader“ (manchmal auch als „BazaLoader“ bezeichnet) sei eine Malware, welche „Backdoor“-Zugang zu einem infizierten „Windows“-Host biete. Nachdem ein Client infiziert ist, nutzten Kriminelle diesen „Backdoor“-Zugang, um Folge-Malware zu versenden, die Umgebung zu scannen und andere anfällige Hosts im Netzwerk auszunutzen. Palo Alto Networks habe sie eigenen Erkenntnisse, einschließlich der in diesem Bericht beschriebenen Dateimuster und Kompromittierungsindikatoren, mit den anderen Mitgliedern der Cyber Threat Alliance (CTA) geteilt. CTA-Mitglieder nutzten diese Erkenntnisse, um ihren Kunden schnell Schutzmaßnahmen bereitzustellen und böswillige Cyber-Akteure systematisch zu stören.

BazarCall-Methode: call-center-basierter Prozess zur Infizierung von Computern mit BazarLoader

Der Kriminelle hinter „BazarLoader“ verwende verschiedene Methoden, um diese Malware an potenzielle Opfer zu verteilen. Anfang Februar 2021 hätten Forscher von einer call-center-basierten Methode zur Verbreitung von „BazarLoader“ berichtet. Bei dieser Methode würden E-Mails mit einem auf einem Testabonnement basierenden Thema verwendet, welches potenzielle Opfer dazu auffordere, eine Telefonnummer anzurufen:
„Ein Call-Center-Betreiber meldet sich dann und leitet die Opfer auf eine Website, auf der sie sich von dem Dienst abmelden können.“ Die Call-Center-Betreiber böten den Opfern an, sie persönlich durch einen Prozess zu führen, der darauf abziele, anfällige Computer mit „BazarLoader“ zu infizieren. Dieser call-center-basierte Prozess zur Infizierung von Computern mit „BazarLoader“ sei als „BazarCall“-Methode bezeichnet worden (manchmal auch „BazaCall“-Methode).

Ereigniskette bei Infektionen der BazarCall-Methode

„BazarCall“-Infektionen folgen laut Palo Alto Networks einem bestimmten Aktivitätsmuster:

• Eine auf ein Probeabonnement bezogene E-Mail mit einer Telefonnummer eines Call-Centers zur Unterstützung.
• Das Opfer ruft die Telefonnummer aus der E-Mail an.
• Der Mitarbeiter des Call-Centers leitet das Opfer auf eine gefälschte Unternehmenswebsite.
• Das Opfer lädt eine „Microsoft Excel“-Datei von dieser Website herunter.
• Der Call-Center-Mitarbeiter weist das Opfer an, Makros in der heruntergeladenen „Excel“-Datei zu aktivieren.
• Der anfällige „Windows“-Computer wird mit der „BazarLoader“-Malware infiziert.
• Der Call-Center-Mitarbeiter teilt dem Opfer dann mit, dass die Abmeldung erfolgreich war.
• „BazarLoader“ generiert Befehls- und Kontrollverkehr (C2) vom infizierten „Windows“-Host.
• Der „Backdoor“-Zugang über „BazarLoader“ führt zu Aktivitäten nach der Infektion.

In diesen E-Mails werde mitgeteilt, „dass das Probeabonnement des Opfers endet und die Kreditkarte des Opfers belastet wird“. Die Telefonnummern in diesen E-Mails änderten sich mindestens täglich. Gelegentlich hätten Forscher von Palo Alto Networks beobachtet, „dass zwei oder mehr Nummern an einem einzigen Tag erscheinen“.

BazarLoader-Malware zu Befall mit Cobalt Strike und dann Anchor führen

„BazarLoader“ biete „Backdoor“-Zugriff auf einen infizierten „Windows“-Host. In einigen Fällen werde „Cobalt Strike“ als Folge-Malware eingesetzt, welche dann zu anderer Malware wie „Anchor“ führe. Es seien mindestens zwei Fälle öffentlich dokumentiert worden, in denen „BazarLoader“-Malware zu „Cobalt Strike“ und dann zu „Anchor“-Malware geführt habe – ein Fall habe sich im Februar 2021 ereignet, der andere im März 2021.
„BazarLoader“ sei jedoch nicht nur auf „Cobalt Strike“ und „Anchor“ als Folge-Malware beschränkt. Im Jahr 2020 habe es Berichte über „BazarLoader“-Fälle gegeben, welche zu Ransomware wie „Ryuk“ geführt hätten. Der „Backdoor“-Zugang zu einem infizierten „Windows“-Host könne zu jeder Malware-Familie führen.

Fazit von Palo Alto Networks zum aktuellen BazarLoader-Erkenntnisstand

Bereits im Februar 2021 habe es mehrere Berichte über die „BazarCall“-Methode gegeben, bei der „BazarLoader“-Malware über Call-Center-Mitarbeiter verteilt werde. Diese Infektionen folgten auffälligen Mustern, und sie könnten zu anderer Malware wie „Cobalt Strike“, „Anchor“ und „Ryuk“-Ransomware führen.
Unternehmen mit einer guten Spam-Filterung, einer ordnungsgemäßen Systemadministration und aktuellen „Windows“-Hosts hätten ein deutlich geringeres Risiko einer Infektion durch „BazarLoader“-Malware und deren Aktivitäten nach der Infektion. Kunden von „Palo Alto Networks Next-Generation Firewall“ seien mit einem Sicherheitsabonnement für „Threat Prevention“ zusätzlich vor dieser Bedrohung geschützt.

Weitere Informationen zum Thema:

malpedia
BazarBackdoor

TheAnalyst auf Twitter
I’m dubbing the recent #BazaLoader #BazarLoader campaigns involving social engineering and call centers as #BazarCall

malware-traffic-analysis.net auf YouTube
2021-03-29 BazaCall (BazarCall) Example

malpedia
Anchor

The DFIR Report, 08.03.2021
Bazar Drops the Anchor

TREND MICRO, 04.11.2020
Ryuk 2020: Distributing Ransomware via TrickBot and BazarLoader