一個自稱BravoMovies的假電影串流網站,其實是提供惡意程式BazaLoader的下載,網站包含了FAQ和取消服務等正常網站常見的原素,藉此令用戶更容易掉入陷阱。
BazaLoader傳輸各式各樣惡意程式
BazaLoader只是傳輸的載具,用來部署加密勒索程式和其他類型的惡意程式,又或者在受害者的系統內盜取敏感資料。BazaLoader在去年4月被首次發現,其載具被複數的黑客所使用,以C++語言編寫,可以傳輸Ryuk和Conti等加密勒索程式,研究人員認為BazaLoader與惡意程式The Trick(又名Trickbot)背後的團隊有強烈的重疊。
精心設計的感染鏈
BravoMovies網站的感染鏈設計的十分仔細,並與其下保持步調一至,後者會誘使受害者逐步觸發惡意程式的內容。一切從電郵通知收件者,除非他們取消訂閱服務,否則信用卡將會被收費,其實用戶並沒有訂閱相關的服務。電郵的誘餌主旨包括:
- Your trial period M0012064753012345 is going to be expired soon. Thankfully you made a decision to stick with us!
- Demo stage is expired! Your account #M0272028060812345 will be automatically transferred to premium plan!
電郵含有致電客戶服務的電話號碼,電話連住客服中心有真人隨時接聽,然後會打來電者接駁到聲稱取消電影串流的服務,然而事實上是把受害者帶到經過「加工」的Excel工作表,通過巨集下載BazaLoader。
像真的偽電影串流網站
研究人員形容BravoMovies電影串流網站幾可亂真,看似提供電影和電視串流服務,並以假電影作品作為網頁地址,而且從不同的開放資源取得假的電影海報,令網民更容易掉入陷阱。
而客服中心通知受害者前往BravoMovies網站中的Frequently Asked Question網頁,並引導到 「Subscribtion」進行取消訂閱,下一步便是指示下載Excel工作表,當中含有巨集下載BazaLoader。
真人接聽電話的「BazarCall」
研究人員把攻擊中包含了客服中心或真人接聽的方法稱為「BazarCall」,這次借電影串流網串行事並非首見,較早前曾出現借情人節傳播惡意程式,也有訂閱製藥服務的攻擊活動。不過以客服中心種方法攻擊的組織暫時以BazaLoader最為活躍,The Trick的手法與它十分相似。以電話的技術支援詐騙存在多年,但研究人員認為與BazarCall存在不同,後者是經過改良的現代方法。
資料來源:Threat Post
