BazaCall: Sahte çağrı merkezleri yoluyla fidye yazılımı dağıtıyor
Sahte çağrı merkezleri yoluyla kullanıcıları kandıran ve kullanıcıları hazırladıkları BazaLoader adlı zararlı yazılımı indirmelerini sağlayan BazaCall adında yeni bir kötü niyetli bir kampanya açığa çıkarıldı. BazaLoader zararlı yazılımının izinsiz giriş yaptığı ağlarda hızlıca hareket ettiği, kapsamlı veri ve kimlik bilgisi hırsızlığı yapabildiği, sisteme girdikten sonraki 48 saat içerisinde de zararlı yazılım dağıtabilme işlevine sahip olduğu belirtiliyor.
Microsoft 365 Defender Tehdit İstihbarat Ekibi tarafından yapılan analizler ve sonrasında yayınlanan rapora göre:
1- “BazaCall” kampanyası kapsamında tehdit aktörleri, geleneksel sosyal mühendislik saldırı tekniklerinde yararlanılan sahte mailler içerisindeki sahte URL ve zararlı yazılım barındıra dosyalar yoluyla kullanıcıları hedef alma yolunu kullanmamışlar.
2- Öncelikli olarak hedeflenmiş kullanıcıların, gönderilen maillerde yer alan numarayı araması gerekiyor. Daha sonrada hattın diğer ucundaki gerçek insanlarla bağlantı kuruyorlar ve daha sonra cihazlarına bilmeden zararlı yazılım yüklemek için adım adım talimatlar alırlar.
3- Bu yüzden BazaCall kampanyalarının başarılı olabilmesi için insan ve toplum mühendisliği taktikleriyle kullanıcılarla doğrudan telefon iletişimi kurması gerekiyor.
4- BazaLoader izinsiz giriş yaptığı sistemlerden hassas verileri çalmak, fidye ve diğer zararlı yazılımları dağıtmak da dahil olmak üzere, virüslü bilgisayarlara çeşitli türlerde kötü amaçlı programlar yükleme yeteneğine sahip C++ tabanlı bir indiricidir. İlk olarak Nisan 2020’de ortaya çıktığı gözlemlenen BazaLoader kampanyaları, birden fazla tehdit aktörü tarafından kullanıldı ve sıklıkla Ryuk ve Conti fidye yazılımları gibi yıkıcı fidye yazılımlar için bir yükleyici görevi görüyor.
5- Tipik bir spam ve kimlik avı e-postalarının aksine, BazaCall’ın mesaj gövdesinde kullanıcıların tıklaması veya açması gereken bir bağlantı veya ek bulunmuyor. Bunun yerine kullanıcılara soruları veya endişeleri olması durumunda bir telefon numarasını aramalarını istiyor. Bu tipik kötü amaçlı öğelerin ( bağlantılar veya ekler) olmaması, bu e-postaları tespit etme ve arama konusunda bir zorluk düzeyi ekliyor. Ek olarak kullanıcı, tipik kimlik avı ve kötü amaçlı yazılım e-postalarından kaçınmak az bir bilgiye sahipse ve sosyal mühendislik saldırı tekniklerine karşıda çok fazla bilgisi bulunmuyorsa eğer e-posta içeriğindeki mesajlardan dolayı inanma oranı daha yüksek olabilir.
Microsoft’un bu yeni raporu dışında, bu yılın Mayıs ayı içerisinde Palo Alto Networks ve ProofPoint tarafından da BazaLoader ile ilgili raporlar yayınlanmıştı.
