Évolution de la menace BazaarCall, comment procèdent les attaquants ?

0
204

Les campagnes BazarCall sont apparues pour la première fois fin 2020 et depuis lors, Trellix a relevé une augmentation constante des attaques liées à cette campagne ainsi qu’une évolution des tactiques utilisées. Les chercheurs du Advanced Research Center de Trellix ont pu mettre en lumière le processus d’attaque des campagnes BazarCall et les classer en trois phases. Recherche Trellix.

Phase 1 – L’appât

Tout commence par un faux e-mail qui informe le destinataire d’un montant prélevé sur son compte pour l’achat/renouvellement d’un produit/abonnement. Il contient toutes les informations génériques telles que le nom du produit, la date, le modèle, etc., ainsi qu’un numéro de facture unique utilisé par l’attaquant pour identifier la victime. L’e-mail indique que la victime peut appeler un numéro de téléphone pour toute question ou demande d’annulation. 

La campagne a été vue en train d’imiter de nombreuses marques telles que Geek Squad, Norton, McAfee, PayPal, Microsoft, etc. (classées par ordre de popularité).

Phase 2 – L’attaque

Une fois que le destinataire a appelé le centre d’appels frauduleux, la phase la plus délicate de l’attaque commence : manipuler la victime afin qu’elle télécharge et exécute des logiciels malveillants sur son système. Plusieurs tactiques de persuasion peuvent être utilisées à cet effet et vous trouverez plus de détails dans le document en pièce jointe.

Phase 3 – The kill

Une fois le logiciel malveillant exécuté, commence alors la troisième phase de l’attaque où le logiciel malveillant est utilisé pour mener une fraude financière ou introduire un logiciel malveillant supplémentaire dans le système. Parmi les fichiers déposés sur le système de la victime, ScreenConnect, un logiciel de contrôle à distance légitime de ConnectWise. 

L’escroc demande ensuite à la victime de se connecter à son compte bancaire pour terminer le processus de remboursement et l’escroc manipulera la victime afin qu’elle lui envoie de l’argent en lui donnant l’impression qu’elle en reçoit. La victime se voit également présenter une fausse page de remboursement pour la convaincre qu’elle a reçu le remboursement et dans certains cas un SMS avec un faux message de remboursement pour empêcher la victime de soupçonner une fraude.