Операторы BazaCall обманом заставляют пользователей загрузить вымогательское ПО

Команда ИБ-специалистов Microsoft Security Intelligence предупредила пользователей о текущей вредоносной кампании BazaCall, операторы которой пытаются установить на системах жертв вымогательское ПО.

В рамках кампании BazaCall преступники рассылают электронные письма, предлагающие получателям позвонить по указанному номеру для отмены предполагаемой подписки на услугу. Позвонив по номеру, пользователи на самом деле обращаются в мошеннический call-центр , управляемый злоумышленниками. Преступники рекомендуют жертвам посетить конкретный web-сайт и загрузить файл Microsoft Excel для завершения процедуры. Файл, в свою очередь, содержит вредоносный макрос для загрузки вредоносного ПО.

По словам экспертов, злоумышленники используют маячки Cobalt Strike и похищают учетные данные, включая базу данных Active Directory, с помощью ПО с открытым исходным кодом rclone.

Специалисты отметили, что номера телефонов в электронных письмах злоумышленников меняются «как минимум ежедневно», а иногда в день могло появиться более двух номеров.