Ένα νέο κύμα επιθέσεων στο BazarCall χρησιμοποιεί
τι
ς Φόρμες Google για να δημιουργήσει και να στείλει αποδείξεις πληρωμής στα θύματα, επιχειρώντας να κάνει την απόπειρα phishing να φαίνεται πιο νόμιμη.
Το BazarCall, που τεκμηριώθηκε για πρώτη φορά το 2021, είναι μια επίθεση phishing που χρησιμοποιεί ένα email που μοιάζει με ειδοποίηση πληρωμής ή επιβεβαίωση συνδρομής σε
λογισμικό
ασφαλείας, υποστήριξη υπολογιστών, πλατφόρμες
ροής
και άλλες γνωστές μάρκες.
Αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου αναφέρουν ότι ο παραλήπτης ανανεώνεται αυτόματα σε μια εξωφρενικά ακριβή συνδρομή και θα πρέπει να την ακυρώσει εάν δεν θέλει να χρεωθεί.
Ωστόσο, αντί να περιέχει έναν σύνδεσμο προς έναν ιστότοπο, το μήνυμα ηλεκτρονικού ταχυδρομείου περιλάμβανε ιστορικά έναν αριθμό τηλεφώνου σε έναν υποτιθέμενο αντιπρόσωπο εξυπηρέτησης πελατών αυτής της επωνυμίας, με τον οποίο ενδέχεται να επικοινωνήσετε για να αμφισβητήσετε τις χρεώσεις ή να ακυρώσετε τη συνδρομή.
Ένα τυπικό δέλεαρ BazarCall
(Ασυνήθιστος)
Οι κλήσεις απαντώνται από έναν κυβερνοεγκληματία που προσποιείται ότι είναι υποστήριξη πελατών, ξεγελώντας τα θύματα ώστε να εγκαταστήσουν κακόβουλο λογισμικό στους
υπολογιστές
τους καθοδηγώντας τα σε μια παραπλανητική διαδικασία.
Το κακόβουλο λογισμικό ονομάζεται BazarLoader και όπως υποδηλώνει το όνομα, είναι ένα εργαλείο για την εγκατάσταση πρόσθετων ωφέλιμων φορτίων στο σύστημα του θύματος.
Κατάχρηση
των Φορμών Google
Εταιρεία ασφαλείας email
Μη φυσιολογικές αναφορές
ότι αντιμετώπισε μια νέα παραλλαγή της επίθεσης BazarCall, η οποία πλέον καταχράται τις Φόρμες Google.
Το Google Forms είναι ένα δωρεάν διαδικτυακό εργαλείο που επιτρέπει στους χρήστες να δημιουργούν προσαρμοσμένες φόρμες και κουίζ, να τα ενσωματώνουν σε ιστότοπους, να τα μοιράζονται με άλλους κ.λπ.
Ο εισβολέας δημιουργεί μια Φόρμα Google με τα στοιχεία μιας ψεύτικης συναλλαγής, όπως τον αριθμό τιμολογίου, την ημερομηνία, τον τρόπο πληρωμής και διάφορες πληροφορίες σχετικά με το προϊόν ή την υπηρεσία που χρησιμοποιείται ως δόλωμα.
Στη συνέχεια, ενεργοποιούν την επιλογή «απόδειξη απάντησης» στις ρυθμίσεις, η οποία στέλνει ένα αντίγραφο της συμπληρωμένης φόρμας στην υποβληθείσα διεύθυνση email.
Χρησιμοποιώντας τη διεύθυνση email του στόχου, ένα αντίγραφο της συμπληρωμένης φόρμας, που μοιάζει με επιβεβαίωση πληρωμής, αποστέλλεται στον στόχο από τους διακομιστές της Google.
Αντίγραφο της φόρμας που αποστέλλεται στον στόχο
(Ασυνήθιστος)
Δεδομένου ότι οι Φόρμες Google είναι μια νόμιμη υπηρεσία, τα εργαλεία ασφαλείας ηλεκτρονικού ταχυδρομείου δεν θα επισημάνουν ή θα αποκλείσουν το ηλεκτρονικό “ψάρεμα” (phishing), επομένως η παράδοση στους προβλεπόμενους παραλήπτες είναι εγγυημένη.
Επίσης, το γεγονός ότι το email προέρχεται από μια διεύθυνση Google (“
”) του προσδίδει επιπλέον νομιμότητα.
Το αντίγραφο του τιμολογίου περιλαμβάνει τον αριθμό τηλεφώνου του υπεύθυνου της απειλής, τον οποίο οι παραλήπτες καλούνται να καλέσουν εντός 24 ωρών από τη λήψη του μηνύματος ηλεκτρονικού ταχυδρομείου για να προβούν σε τυχόν διαφωνίες, επομένως υπάρχει το στοιχείο του επείγοντος.
Η αναφορά του Abnormal δεν εμβαθύνει στα μεταγενέστερα στάδια της επίθεσης. Ωστόσο, το BazarCall χρησιμοποιήθηκε στο παρελθόν για να αποκτήσει αρχική πρόσβαση σε εταιρικά δίκτυα, οδηγώντας συνήθως σε επιθέσεις ransomware.
VIA:
bleepingcomputer.com
