Aktuelles, Branche - geschrieben von dp am Montag, Juni 21, 2021 14:42 - noch keine Kommentare
BazarLoader: Call-Center helfen bei Verbreitung der Malware
Palo Alto Networks warnt vor BazarCall-Methode
[datensicherheit.de, 21.06.2021] Palo Alto Networks warnt nach eigenen Angaben aktuell vor einer neuen Methode, mit der Cyber-Kriminelle gezielt Malware verbreiten. „BazarLoader“ (manchmal auch als „BazaLoader“ bezeichnet) sei eine Malware, welche „Backdoor“-Zugang zu einem infizierten „Windows“-Host biete. Nachdem ein Client infiziert ist, nutzten Kriminelle diesen „Backdoor“-Zugang, um Folge-Malware zu versenden, die Umgebung zu scannen und andere anfällige Hosts im Netzwerk auszunutzen. Palo Alto Networks habe sie eigenen Erkenntnisse, einschließlich der in diesem Bericht beschriebenen Dateimuster und Kompromittierungsindikatoren, mit den anderen Mitgliedern der Cyber Threat Alliance (CTA) geteilt. CTA-Mitglieder nutzten diese Erkenntnisse, um ihren Kunden schnell Schutzmaßnahmen bereitzustellen und böswillige Cyber-Akteure systematisch zu stören.
BazarCall-Methode: call-center-basierter Prozess zur Infizierung von Computern mit BazarLoader
Der Kriminelle hinter „BazarLoader“ verwende verschiedene Methoden, um diese Malware an potenzielle Opfer zu verteilen. Anfang Februar 2021 hätten Forscher von einer call-center-basierten Methode zur Verbreitung von „BazarLoader“ berichtet. Bei dieser Methode würden E-Mails mit einem auf einem Testabonnement basierenden Thema verwendet, welches potenzielle Opfer dazu auffordere, eine Telefonnummer anzurufen:
„Ein Call-Center-Betreiber meldet sich dann und leitet die Opfer auf eine Website, auf der sie sich von dem Dienst abmelden können.“ Die Call-Center-Betreiber böten den Opfern an, sie persönlich durch einen Prozess zu führen, der darauf abziele, anfällige Computer mit „BazarLoader“ zu infizieren. Dieser call-center-basierte Prozess zur Infizierung von Computern mit „BazarLoader“ sei als „BazarCall“-Methode bezeichnet worden (manchmal auch „BazaCall“-Methode).
Ereigniskette bei Infektionen der BazarCall-Methode
„BazarCall“-Infektionen folgen laut Palo Alto Networks einem bestimmten Aktivitätsmuster:
- Eine auf ein Probeabonnement bezogene E-Mail mit einer Telefonnummer eines Call-Centers zur Unterstützung.
- Das Opfer ruft die Telefonnummer aus der E-Mail an.
- Der Mitarbeiter des Call-Centers leitet das Opfer auf eine gefälschte Unternehmenswebsite.
- Das Opfer lädt eine „Microsoft Excel“-Datei von dieser Website herunter.
- Der Call-Center-Mitarbeiter weist das Opfer an, Makros in der heruntergeladenen „Excel“-Datei zu aktivieren.
- Der anfällige „Windows“-Computer wird mit der „BazarLoader“-Malware infiziert.
- Der Call-Center-Mitarbeiter teilt dem Opfer dann mit, dass die Abmeldung erfolgreich war.
- „BazarLoader“ generiert Befehls- und Kontrollverkehr (C2) vom infizierten „Windows“-Host.
- Der „Backdoor“-Zugang über „BazarLoader“ führt zu Aktivitäten nach der Infektion.
In diesen E-Mails werde mitgeteilt, „dass das Probeabonnement des Opfers endet und die Kreditkarte des Opfers belastet wird“. Die Telefonnummern in diesen E-Mails änderten sich mindestens täglich. Gelegentlich hätten Forscher von Palo Alto Networks beobachtet, „dass zwei oder mehr Nummern an einem einzigen Tag erscheinen“.
BazarLoader-Malware zu Befall mit Cobalt Strike und dann Anchor führen
„BazarLoader“ biete „Backdoor“-Zugriff auf einen infizierten „Windows“-Host. In einigen Fällen werde „Cobalt Strike“ als Folge-Malware eingesetzt, welche dann zu anderer Malware wie „Anchor“ führe. Es seien mindestens zwei Fälle öffentlich dokumentiert worden, in denen „BazarLoader“-Malware zu „Cobalt Strike“ und dann zu „Anchor“-Malware geführt habe – ein Fall habe sich im Februar 2021 ereignet, der andere im März 2021.
„BazarLoader“ sei jedoch nicht nur auf „Cobalt Strike“ und „Anchor“ als Folge-Malware beschränkt. Im Jahr 2020 habe es Berichte über „BazarLoader“-Fälle gegeben, welche zu Ransomware wie „Ryuk“ geführt hätten. Der „Backdoor“-Zugang zu einem infizierten „Windows“-Host könne zu jeder Malware-Familie führen.
Fazit von Palo Alto Networks zum aktuellen BazarLoader-Erkenntnisstand
Bereits im Februar 2021 habe es mehrere Berichte über die „BazarCall“-Methode gegeben, bei der „BazarLoader“-Malware über Call-Center-Mitarbeiter verteilt werde. Diese Infektionen folgten auffälligen Mustern, und sie könnten zu anderer Malware wie „Cobalt Strike“, „Anchor“ und „Ryuk“-Ransomware führen.
Unternehmen mit einer guten Spam-Filterung, einer ordnungsgemäßen Systemadministration und aktuellen „Windows“-Hosts hätten ein deutlich geringeres Risiko einer Infektion durch „BazarLoader“-Malware und deren Aktivitäten nach der Infektion. Kunden von „Palo Alto Networks Next-Generation Firewall“ seien mit einem Sicherheitsabonnement für „Threat Prevention“ zusätzlich vor dieser Bedrohung geschützt.
Weitere Informationen zum Thema:
malpedia
BazarBackdoor
TheAnalyst auf Twitter
I’m dubbing the recent #BazaLoader #BazarLoader campaigns involving social engineering and call centers as #BazarCall
malware-traffic-analysis.net auf YouTube
2021-03-29 BazaCall (BazarCall) Example
malpedia
Anchor
The DFIR Report, 08.03.2021
Bazar Drops the Anchor
TREND MICRO, 04.11.2020
Ryuk 2020: Distributing Ransomware via TrickBot and BazarLoader
Aktuelles, Experten - Dez 10, 2024 10:36 - noch keine Kommentare
vzbv-Stellungnahme zum Forschungsdatenzugang: Mehr Transparenz auf digitalen Plattformen gefordert
weitere Beiträge in Experten
- Bitkom artikuliert vorab Bedenken: KI-Stellungnahme des EDSA noch im Dezember 2024 erwartet
- Verbraucherzentrale reicht nach BGH-Urteil zu facebook-Datenleck Sammelklage ein
- Vorratsdatenspeicherung in Dauerschleife: eco fordert endlich klare Linie zum Schutz der Grundrechte
- Crimenetwork: BKA und ZIT gelang Abschaltung
- TÜV Rheinland meldet weiter verschärfte IT-Sicherheitslage in Deutschland
Aktuelles, Branche, Studien - Dez 9, 2024 13:38 - noch keine Kommentare
Mitarbeiterverhalten: CyberArk-Studie 2024 deckt Sicherheitsrisiken auf
weitere Beiträge in Branche
- KnowBe4 veröffentlicht Phishing-Trends im dritten Quartal 2024 – QR-Code-Phishing auf dem Vormarsch
- Banken müssen Cyber-Bedrohungslandschaft mit fortschrittlicher Sicherheitsstrategie begegnen
- KI-basierte Deepfakes zur effektiven Täuschung als Angriffsvektor etabliert
- Finanzsektor: Digitalisierung und Cloud bieten idealen Nährboden für Cyber-Angriffe
- Rund um den Black Friday 2024: Cyber-Gefahren für Einzelhandel drastisch zugenommen
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren