微软警告用户提防一种借助呼叫中心的勒索软件伎俩“BazarLoader”

蓝天二号

最近几个月，美国多家高知名度的大公司成为勒索软件攻击的受害者。在至少两个突出的案例中，公司向攻击者支付了数百万美元以取回他们的数据。随着黑客利用勒索软件的战术赚取更多的钱，攻击的发生率也在增加。微软现在警告用户要小心那些试图欺骗他们下载勒索软件的钓鱼邮件。

微软网络安全研究人员正在寻找一个名为BazarCall的犯罪组织。该犯罪团伙正在利用呼叫中心用名为BazarLoader的恶意软件感染计算机，该软件已被用于分发勒索软件。该勒索软件背后的团伙自1月以来一直很活跃，值得注意的是，他们利用呼叫中心的操作员引导受害者在Windows电脑上安装他们的软件。

一旦安装，该恶意软件会提供进入Windows PC的后门，允许犯罪分子发送后续恶意软件，扫描环境，并利用网络上的其他脆弱主机。这种攻击通常从一封钓鱼邮件开始，告知受害者他们电脑上的软件试用版已经过期，除非他们打电话取消试用，否则将自动收费。


微软正在重点关注该组织针对Office 365用户发送的电子邮件。如果用户拨打电子邮件中的号码，攻击者运营的欺诈性呼叫中心会指示受害者访问一个网站并下载一个Excel文件来取消服务。在该下载的文件中，有一个恶意的宏，可以下载恶意软件载荷，使勒索软件得以安装。

据了解，该组织还使用Cobalt Strike渗透测试工具来窃取证书，包括窃取活动目录数据库的数据。窃取活动目录数据库内容对企业用户来说是一个重大问题，因为它包含了组织的身份和凭证信息。