[datensicherheit.de, 21.06.2021] Palo Alto Networks warnt nach eigenen Angaben aktuell vor einer neuen Methode, mit der Cyber-Kriminelle gezielt Malware verbreiten. „BazarLoader“ (manchmal auch als „BazaLoader“ bezeichnet) sei eine Malware, welche „Backdoor“-Zugang zu einem infizierten „Windows“-Host biete. Nachdem ein Client infiziert ist, nutzten Kriminelle diesen „Backdoor“-Zugang, um Folge-Malware zu versenden, die Umgebung zu scannen und andere anfällige Hosts im Netzwerk auszunutzen. Palo Alto Networks habe sie eigenen Erkenntnisse, einschließlich der in diesem Bericht beschriebenen Dateimuster und Kompromittierungsindikatoren, mit den anderen Mitgliedern der Cyber Threat Alliance (CTA) geteilt. CTA-Mitglieder nutzten diese Erkenntnisse, um ihren Kunden schnell Schutzmaßnahmen bereitzustellen und böswillige Cyber-Akteure systematisch zu stören.

BazarCall-Methode: call-center-basierter Prozess zur Infizierung von Computern mit BazarLoader

Der Kriminelle hinter „BazarLoader“ verwende verschiedene Methoden, um diese Malware an potenzielle Opfer zu verteilen. Anfang Februar 2021 hätten Forscher von einer call-center-basierten Methode zur Verbreitung von „BazarLoader“ berichtet. Bei dieser Methode würden E-Mails mit einem auf einem Testabonnement basierenden Thema verwendet, welches potenzielle Opfer dazu auffordere, eine Telefonnummer anzurufen:
„Ein Call-Center-Betreiber meldet sich dann und leitet die Opfer auf eine Website, auf der sie sich von dem Dienst abmelden können.“ Die Call-Center-Betreiber böten den Opfern an, sie persönlich durch einen Prozess zu führen, der darauf abziele, anfällige Computer mit „BazarLoader“ zu infizieren. Dieser call-center-basierte Prozess zur Infizierung von Computern mit „BazarLoader“ sei als „BazarCall“-Methode bezeichnet worden (manchmal auch „BazaCall“-Methode).

Ereigniskette bei Infektionen der BazarCall-Methode

„BazarCall“-Infektionen folgen laut Palo Alto Networks einem bestimmten Aktivitätsmuster:

• Eine auf ein Probeabonnement bezogene E-Mail mit einer Telefonnummer eines Call-Centers zur Unterstützung.
• Das Opfer ruft die Telefonnummer aus der E-Mail an.
• Der Mitarbeiter des Call-Centers leitet das Opfer auf eine gefälschte Unternehmenswebsite.
• Das Opfer lädt eine „Microsoft Excel“-Datei von dieser Website herunter.
• Der Call-Center-Mitarbeiter weist das Opfer an, Makros in der heruntergeladenen „Excel“-Datei zu aktivieren.
• Der anfällige „Windows“-Computer wird mit der „BazarLoader“-Malware infiziert.
• Der Call-Center-Mitarbeiter teilt dem Opfer dann mit, dass die Abmeldung erfolgreich war.
• „BazarLoader“ generiert Befehls- und Kontrollverkehr (C2) vom infizierten „Windows“-Host.
• Der „Backdoor“-Zugang über „BazarLoader“ führt zu Aktivitäten nach der Infektion.

In diesen E-Mails werde mitgeteilt, „dass das Probeabonnement des Opfers endet und die Kreditkarte des Opfers belastet wird“. Die Telefonnummern in diesen E-Mails änderten sich mindestens täglich. Gelegentlich hätten Forscher von Palo Alto Networks beobachtet, „dass zwei oder mehr Nummern an einem einzigen Tag erscheinen“.

BazarLoader-Malware zu Befall mit Cobalt Strike und dann Anchor führen

„BazarLoader“ biete „Backdoor“-Zugriff auf einen infizierten „Windows“-Host. In einigen Fällen werde „Cobalt Strike“ als Folge-Malware eingesetzt, welche dann zu anderer Malware wie „Anchor“ führe. Es seien mindestens zwei Fälle öffentlich dokumentiert worden, in denen „BazarLoader“-Malware zu „Cobalt Strike“ und dann zu „Anchor“-Malware geführt habe – ein Fall habe sich im Februar 2021 ereignet, der andere im März 2021.
„BazarLoader“ sei jedoch nicht nur auf „Cobalt Strike“ und „Anchor“ als Folge-Malware beschränkt. Im Jahr 2020 habe es Berichte über „BazarLoader“-Fälle gegeben, welche zu Ransomware wie „Ryuk“ geführt hätten. Der „Backdoor“-Zugang zu einem infizierten „Windows“-Host könne zu jeder Malware-Familie führen.

Fazit von Palo Alto Networks zum aktuellen BazarLoader-Erkenntnisstand

Bereits im Februar 2021 habe es mehrere Berichte über die „BazarCall“-Methode gegeben, bei der „BazarLoader“-Malware über Call-Center-Mitarbeiter verteilt werde. Diese Infektionen folgten auffälligen Mustern, und sie könnten zu anderer Malware wie „Cobalt Strike“, „Anchor“ und „Ryuk“-Ransomware führen.
Unternehmen mit einer guten Spam-Filterung, einer ordnungsgemäßen Systemadministration und aktuellen „Windows“-Hosts hätten ein deutlich geringeres Risiko einer Infektion durch „BazarLoader“-Malware und deren Aktivitäten nach der Infektion. Kunden von „Palo Alto Networks Next-Generation Firewall“ seien mit einem Sicherheitsabonnement für „Threat Prevention“ zusätzlich vor dieser Bedrohung geschützt.

Weitere Informationen zum Thema:

malpedia
BazarBackdoor

TheAnalyst auf Twitter
I’m dubbing the recent #BazaLoader #BazarLoader campaigns involving social engineering and call centers as #BazarCall

malware-traffic-analysis.net auf YouTube
2021-03-29 BazaCall (BazarCall) Example

malpedia
Anchor

The DFIR Report, 08.03.2021
Bazar Drops the Anchor

TREND MICRO, 04.11.2020
Ryuk 2020: Distributing Ransomware via TrickBot and BazarLoader

[datensicherheit.de, 04.10.2013] Ältere Bürgerinnen und Bürger in Deutschland werden in zunehmendem Ausmaß Opfer von falschen Gewinnversprechen per Telefon, warnt aktuell das Bundeskriminalamt (BKA). Aus Call-Centern agierende Täter, die sich als Rechtsanwälte oder Notare ausgeben, informieren demnach die Angerufenen über den angeblichen Gewinn eines Geld- oder Sachpreises – zumeist eines hochwertigen Autos. Die Auszahlung oder Überführung werde dann davon abhängig gemacht, dass die vermeintlichen Gewinner im Voraus bestimmte Gebühren, Steuern oder andere Kosten bezahlen sollen. Eine Verrechnung mit dem Gewinn werde mit unterschiedlichsten Begründungen abgelehnt, so das BKA.

Der nicht existierende Gewinn

Für die Bezahlung würden die Täter den Opfern verschiedene Möglichkeiten nennen, wie beispielsweise die Nutzung von
Bargeldtransfer-Dienstleistern oder den Versand der Geldbeträge per Post als Brief oder Päckchen. Unabhängig aber von der gewählten
Bezahlungsmethode erfolge eben keine Gewinnausschüttung – der Gewinn existiere nicht, stellt das BKA klar.

Fortgesetzte Betrugsversuche

Opfer einer solchen Betrugsmasche müssen auch noch damit rechnen, in derFolgezeit erneut von Betrügern angerufen zu werden, die dann vorgäben, das bezahlte Geld wiederbeschaffen zu können. Vereinzelt behaupteten die Täter auch, dass sich die Angerufenen durch eine Übersendung von Geld in das Ausland strafbar gemacht hätten. Letztendlich versuchten sie, das Opfer zu weiteren Geldzahlungen zu bewegen. Dabei gäben sich die Betrüger als Polizeibeamte, Staatsanwälte, Richter oder auch als Notare und Rechtsanwälte aus.

Bereits Schäden in Millionenhöhe

Bundesweit verzeichnet die Polizei nach offiziellen Angaben in Deutschland seit 2010 über 37.000 Personen, die Opfer dieser Art des Betruges geworden sind. Fachleute von Polizei und Justiz gehen jedoch von einem hohen Dunkelfeld aus. Vermutlich seien bundesweit mittlerweile über 100.000 Personen dieser Tatbegehungsweise zum Opfer gefallen, haben dies aber zum Beispiel aus Furcht, Scham oder mangelnder Mobilität nicht bei der Polizei angezeigt. Durch die Betrügereien erlangten die Täter laut BKA bislang Geldsummen in einer Gesamthöhe von mindestens 23 Millionen Euro.

Manipulation der Anruferkennung

Die bisherigen Ermittlungen hätten ergeben, dass die Taten überwiegend von der Türkei aus begangen werden. Die Täter sprächen sehr gut Deutsch; sie seien redegewandt und skrupellos. Selbst wenn Opfer gegenüber den Tätern angeben, kein Geld mehr zu haben und alle Ersparnisse bereits für den versprochenen Gewinn aufgebraucht zu haben, ließen die Täter nicht von ihnen ab und forderten dazu auf, Geld zu leihen oder einen Kredit aufzunehmen. Um die eigene Glaubwürdigkeit zu erhöhen, manipulierten die Betrüger gezielt die eigene Rufnummer, die im Telefondisplay des Opfers erscheint. Dort werde die Rufnummer einer deutschen Stadt angezeigt, obgleich sich der Täter bei seinem Anruf in der Türkei befinde. Passend zu einem Anruf eines vermeintlichen Notars aus Hamburg könne so auch eine Nummer mit Hamburger Vorwahl im Display des Angerufenen erscheinen.

Besonders dreister Beispielfall in NRW

An einem Fall aus Nordrhein-Westfalen werde das dreiste Vorgehen der Täter besonders deutlich – eine 83-jährige Geschädigte habe in zwei Einschreibebriefen insgesamt 24.000 Euro in die Türkei versandt. Zuvor sei sie von „Polizeibeamten“ telefonisch bedroht worden. Die zweite Geldsendung würde angeblich benötigt, um nun gegen die Geschädigte bestehende Forderungen auszugleichen. Wenn sie nicht bezahle, würden Polizeibeamte sie zu Hause abholen. Die Geschädigte habe sich einige Tage später bei der Polizei gemeldet und berichtet, dass sie erneut einen Anruf von „Interpol Istanbul“ erhalten habe – sie müsse wieder eine Geldsumme überweisen, da aufgrund ihrer früheren Geldsendungen in der Türkei Ermittlungen wegen Geldwäsche gegen sie geführt würden. Nun wolle man weitere 4.800 Euro, um damit die weitere Strafverfolgung gegen sie zu verhindern…

BKA-Präsident ruft Opfer zur Anzeige auf

Skrupellos schüchterten die Täter ihre Opfer ein, um sie zu Zahlungen zu bewegen, sagt BKA-Präsident Jörg Ziercke. Ziercke appelliert, aufmerksam zu sein und telefonischen Gewinnversprechen keinen Glauben zu schenken.
Angehörige deutscher Strafverfolgungsbehörden würden niemals am Telefon zu einer Geldüberweisung nötigen oder eine Festnahme androhen. Wer Opfer einer Straftat geworden ist, sollte sich nicht scheuen, Anzeige bei der nächstgelegenen Polizeidienststelle zu erstatten. Nur so könne die Polizei Maßnahmen zur Überführung der Täter ergreifen.

Kooperation mit türkischen Behörden

So dramatisch der Fall für die 83-Jährige Geschädigte aus Nordrhein-Westfalen auch war – durch ihre Anzeigenerstattung bei der Polizei hätten Ermittlungen in der Türkei angeregt werden können. An der Empfängeradresse der Geldsendungen hätten türkische Polizeibeamte Beweismittel sichergestellt und mehrere Tatverdächtige festgenommen. Die Ermittlungen in der Türkei und in Deutschland dauerten an. In Fällen von international operierenden Tätergruppierungen sei eine schnelle und verlässliche Zusammenarbeit deutscher und türkischer Sicherheitsbehörden entscheidend, um den Tätern das Handwerk zu legen, betont der BKA-Präsident. Aus diesem Grund hätten sie eine deutsch-türkische Arbeitsgruppe eingerichtet, die sich intensiv mit der Aufklärung dieser Straftaten beschäftigen werde. Die beteiligten Justiz- und Polizeibehörden würden alle Anstrengungen unternehmen, um diese Serie von Straftaten aufzuklären und die Verantwortlichen zur Rechenschaft zu ziehen.

Opfer in fast allen Bundesländern

In Deutschland sollen nicht nur in Nordrhein-Westfalen, sondern in fast allen Bundesländern Bürgerinnen und Bürgern Opfer solcher Betrugsfälle geworden sein. Eine hohe Anzahl von Geschädigten gebe es in Ermittlungsverfahren, die in Bayern, Niedersachsen und Sachsen geführt werden.

BKA-Tipps zum Schutz vor Betrug am Telefon:

• Schenken Sie telefonischen Gewinn-Versprechungen keinen Glauben, insbesondere wenn die Einlösung des Gewinns an Bedingungen geknüpft ist!
• Leisten Sie keinerlei Vorauszahlungen auf versprochene Gewinne – ein seriöses Unternehmen wird die Gewinnausschüttung niemals von einer Vorauszahlung abhängig machen!
• Lassen Sie sich von angeblichen Amtspersonen am Telefon nicht unter Druck setzen – Angehörige deutscher Strafverfolgungsbehörden würden Sie niemals am Telefon zu einer Geldüberweisung nötigen oder bedrängen!
• Geben Sie keine persönlichen Informationen weiter: keine Telefonnummern und Adressen, Kontodaten, Bankleitzahlen oder Kreditkartennummern!
• Wenden Sie sich an Ihre örtliche Polizeidienststelle, wenn Sie derartige Anrufe erhalten. Erstatten Sie Anzeige!

Weitere Informationen zum Thema:

Polizeiliche Kriminalprävention der Länder und des Bundes
INFORMATIONSBLATT Gewinnversprechen

[datensicherheit.de, 29.04.2010] Fast alle von uns kennen die ständigen und oftmals auch als lästig empfunden Anrufe von Menschen, die ihre Waren am Telefon verkaufen wollen oder uns weis machen möchten, dass man einen Preis gewonnen habe. Doch die berechtigte Frage ist in den meisten Fällen die, wie dieses möglich sein soll, ohne dass man an einer Verlosung teilgenommen hat. Doch was sind diese so genannten „Callcenter“ eigentlich? Deren Wurzeln gehen in die 1970er-Jahre zurück:
Ein Unternehmen oder eine Organisationseinheit, die die Marktkontakte per Telefon schafft, wird im Englischen als „Call Center“ oder auch als „Customer Care Center“ bezeichnet. Neben den Dienstleistungsangeboten setzt es häufig auch auf den Telefonverkauf als Form des Direktmarketings operativ ein.
Die Idee dazu, die Anfragen, die in einem Unternehmen eingehen, nicht mehr durch die Mitarbeiter der einzelnen Abteilungen bearbeiten zu lassen, sondern ganz zentral durch eine eigens dafür geschaffene Abteilung, war die Geburtsstunde der Call Center. Die telefonischen Bestellannahmen der Warenhäuser waren der Vorläufer zu den heutigen, modernen Callcentern. In den USA begann deren Entwicklung in den 1970er-Jahren. Die Tourismusindustrie war die erste Branche, die durch diese Form der Organisation die erweiterten Möglichkeiten des Kontakts zu Kunden nutzte. Hierbei wurde die Buchung von Flügen und Hotels über das Telefon angeboten. Die Callcenter setzten sich in Europa zunächst in Großbritannien und Irland, in Deutschland und in den Beneluxstaaten durch. Die Branche unterzog sich durch die rasch voranschreitende Entwicklung der Informationstechnik einem starken Wandel.
Das Aufgabengebiet der Callcenter ist vielfältig. Sie dienen als Kundendienst, zu Informationszwecken, Beschwerdemanagement, Meinungs- und Marktforschung, Bestell- und Auftragsannahme, Notfall-Dienst, Rufnummernauskunft und zum Verkauf mit Vertragsabschluss. Seit neustem werden die Center auch für hoch qualifizierte Bereiche wie zum Beispiel der Medizin genutzt. Hier dienen sie beispielsweise zur Beratung chronisch erkrankter Menschen. Der Gesetzgeber reguliert seit jüngster Zeit die Outbound-Marketingaktivitäten, da die Kaltaquise in Deutschland verboten ist. Damit soll der aktive Anruf ohne Aufforderung des Kunden im Privatbereich unterbunden werden. Weiterhin erlaubt ist jedoch ein beratender Anruf bei den Bestandskunden. Dennoch wird häufig, durch werbende Angebote, ein Rückruf forciert. Aufgrund der technischen Möglichkeiten ist diese Dienstleistungsbranche in den letzten Jahren stark gewachsen.
Es gibt verschiedene Arten von Callcentern – so zum einen die Inbound Call Center, die die Kundenanrufe entgegen nehmen. Hierbei handelt es sich um den traditionellen Kundendienst, bei dem der Kunde eine Störung melden möchte, Waren oder Dienstleistungen bestellen, Informationen erhalten, Beschwerden los werden oder vermittelt werden will. Zum anderen gibt es die sogenannten „Outbount Call Center“, die Bestandskunden und potenzielle Kunden gezielt anrufen. Hierbei kann es sich im Rahmen des Telefonmarketing um eine Aktion handeln und der Auftraggeber des Callcenters verfolgt das Ziel, seine Produkte zu verkaufen. Doch natürlich gibt es bei dieser Art auch weitere Einsatzgebiete, wie zum Beispiel einen Bedarf ermitteln oder eine Statistik erheben. Eine weitere Art ist das „Customer Service Center“. Hierbei wird der Bereich „Inbound“ mit der aktiven Tätigkeit des „Outbound“ verbunden.