In corso una nuova e complessa campagna malware che inganna gli utenti prospettando l’addebito in carta di credito di abbonamenti indesiderati a servizi di streaming video. Gli attaccanti spingono le vittime a scaricare e installare inconsapevolmente il malware BazaLoader.
BazaLoader è un downloader scritto in C++ utilizzato per scaricare ed eseguire moduli aggiuntivi. Attualmente è utilizzato da più gruppi di cybercriminali e viene spesso impiegato come loader di malware quali Ryuk e Conti.
A differenza della stragrande maggioranza delle campagne attive, questa si distingue per il tema entertainment sfruttando la notevole crescita di intrattenimento online durante il lockdown e le numerose successive disdette delle relative sottoscrizioni da parte di molti utenti.
Un altro elemento originale è il fatto che, nonostante in genere più passaggi richiesti all’utente significano meno probabilità di catena di attacco, in questo caso accade l’esatto l’opposto: le tecniche utilizzate sono complesse ma efficaci nell’aggirare i sistemi di rilevamento delle minacce automatizzati pur richiedendo molti passaggi da parte dell’utente. L’esca utilizzata è la disdetta di un servizio di streaming indesiderato.
Le vittime ricevono messaggi da mittenti diversi con oggetto la scadenza del periodo di prova di un servizio di streaming, prospettano l’addebito sulla carta di credito del costo in abbonamento, qualora la disdetta non dovesse pervenire per tempo.
Il numero di telefono a cui rivolgersi per rimediare è un falso e fa riferimento a una società denominata “BravoMovies”, a cui è associato un sito web con false locandine di film. Una volta che la vittima visita il sito, viene invitata a consultare le pagine con le FAQ, quindi a seguire le istruzioni per cancellare l’abbonamento sulla pagina “Subscribtion”, dopo aver scaricato un file Excel con i dati che gli saranno utili.
Nonostante i passaggi siano molteplici, molti utenti li seguono scrupolosamente al fine di disdire un costoso abbonamento ma in realtà l’abbonamento non è mai esistito e il computer viene infettato da BazaLoader.
https://www.securityopenlab.it/news/1362/malware-bazaloader-usa-l-esca-dello-streaming-video.html
