De dreigingsactoren achter de BazaCall Er zijn phishing-aanvallen waargenomen waarbij gebruik werd gemaakt van Google Formulieren om het plan een laagje geloofwaardigheid te geven.
De methode is een “poging om de waargenomen authenticiteit van de aanvankelijke kwaadaardige e-mails te verhogen”, aldus cyberbeveiligingsbedrijf Abnormal Security in een vandaag gepubliceerd rapport.
BazaCall (ook bekend als BazarCall), dat voor het eerst werd waargenomen in 2020, verwijst naar een reeks phishing-aanvallen waarbij e-mailberichten die legitieme abonnementsaankondigingen nabootsen, naar doelwitten worden gestuurd, waarbij hen wordt aangespoord contact op te nemen met een ondersteuningsdesk om het plan te betwisten of te annuleren, anders riskeren ze te worden betrapt. ergens tussen $ 50 en $ 500 in rekening gebracht.
Door een vals gevoel van urgentie op te wekken, overtuigt de aanvaller het doelwit via een telefoontje om hen mogelijkheden voor externe toegang te verlenen met behulp van externe desktopsoftware en uiteindelijk persistentie op de host tot stand te brengen onder het mom van hulp bieden bij het opzeggen van het veronderstelde abonnement.
Enkele van de populaire diensten die worden nagebootst zijn Netflix, Hulu, Disney+, Masterclass, McAfee, Norton en GeekSquad.
In de nieuwste aanvalsvariant die door Abnormal Security is gedetecteerd, wordt een formulier dat is gemaakt met Google Forms gebruikt als kanaal om details van het vermeende abonnement te delen.
Het is vermeldenswaard dat de antwoordbevestigingen van het formulier zijn ingeschakeld, waardoor een kopie van het antwoord per e-mail naar de respondent van het formulier wordt verzonden, zodat de aanvaller een uitnodiging kan sturen om het formulier zelf in te vullen en de antwoorden te ontvangen.
“Omdat de aanvaller de optie voor ontvangst van reacties heeft ingeschakeld, ontvangt het doelwit een kopie van het ingevulde formulier, dat de aanvaller heeft ontworpen om eruit te zien als een betalingsbevestiging voor Norton Antivirus-software”, aldus beveiligingsonderzoeker Mike Britton.
Het gebruik van Google Forms is ook slim omdat de antwoorden worden verzonden vanaf het adres “forms-receipts-noreply@google[.]com”, wat een vertrouwd domein is en daardoor een grotere kans heeft om beveiligde e-mailgateways te omzeilen, zoals blijkt uit een recente phishing-campagne op Google Forms die Cisco Talos vorige maand aan het licht bracht.
“Bovendien gebruiken Google Formulieren vaak dynamisch gegenereerde URL’s”, legt Britton uit. “De voortdurend veranderende aard van deze URL’s kan traditionele beveiligingsmaatregelen omzeilen die gebruik maken van statische analyse en op handtekeningen gebaseerde detectie, die afhankelijk zijn van bekende patronen om bedreigingen te identificeren.”
Bedreigingsactor richt zich op recruiters met meer eieren achterdeur
De onthulling komt op het moment dat Proofpoint een nieuwe phishing-campagne onthulde die zich richt op recruiters met directe e-mails die uiteindelijk leiden naar een JavaScript-achterdeur die bekend staat als More_eggs.
Het bedrijfsbeveiligingsbedrijf schreef de aanvalsgolf toe aan een ‘bekwame, financieel gemotiveerde bedreigingsacteur’ die het volgt als TA4557, die een staat van dienst heeft in het misbruiken van legitieme berichtendiensten en het aanbieden van nepbanen via e-mail om uiteindelijk de achterdeur van More_eggs te bezorgen.
“Specifiek in de aanvalsketen die gebruik maakt van de nieuwe directe e-mailtechniek, werd waargenomen dat zodra de ontvanger op de eerste e-mail antwoordde, de acteur reageerde met een URL die linkte naar een door de acteur gecontroleerde website die zich voordeed als een cv van een kandidaat”, aldus Proofpoint.
“Als alternatief werd waargenomen dat de acteur antwoordde met een pdf- of Word-bijlage met instructies om de nep-cv-website te bezoeken.”
More_eggs wordt aangeboden als malware-as-a-service en wordt gebruikt door andere prominente cybercriminele groepen zoals Cobalt Group (ook bekend als Cobalt Gang), Evilnum en FIN6. Eerder dit jaar koppelde eSentire de malware aan twee operators uit Montreal en Boekarest.
