Actu
Nouvelle recherche Trellix : Évolution de la menace BazaarCall, comment procèdent les attaquants ?
octobre 2022 par Trellix Threat Labs
Une nouvelle publication du Advanced Research Center de Trellix revient en profondeur sur les tactiques utilisées par les cyberattaquants lors d’attaques de type BazaarCall.
Les campagnes BazarCall sont apparues pour la première fois fin 2020 et depuis lors, Trellix a relevé une augmentation constante des attaques liées à cette campagne ainsi qu’une évolution des tactiques utilisées. Les chercheurs du Advanced Research Center de Trellix ont pu mettre en lumière le processus d’attaque des campagnes BazarCall et les classer en trois phases.
Phase 1 - L’appât
Tout commence par un faux e-mail qui informe le destinataire d’un montant prélevé sur son compte pour l’achat/renouvellement d’un produit/abonnement. Il contient toutes les informations génériques telles que le nom du produit, la date, le modèle, etc., ainsi qu’un numéro de facture unique utilisé par l’attaquant pour identifier la victime. L’e-mail indique que la victime peut appeler un numéro de téléphone pour toute question ou demande d’annulation.
La campagne a été vue en train d’imiter de nombreuses marques telles que Geek Squad, Norton, McAfee, PayPal, Microsoft, etc. (classées par ordre de popularité).
Phase 2 - L’attaque
Une fois que le destinataire a appelé le centre d’appels frauduleux, la phase la plus délicate de l’attaque commence : manipuler la victime afin qu’elle télécharge et exécute des logiciels malveillants sur son système. Plusieurs tactiques de persuasion peuvent être utilisées à cet effet.
Phase 3 – The kill
Une fois le logiciel malveillant exécuté, commence alors la troisième phase de l’attaque où le logiciel malveillant est utilisé pour mener une fraude financière ou introduire un logiciel malveillant supplémentaire dans le système. Parmi les fichiers déposés sur le système de la victime, ScreenConnect, un logiciel de contrôle à distance légitime de ConnectWise.
L’escroc demande ensuite à la victime de se connecter à son compte bancaire pour terminer le processus de remboursement et l’escroc manipulera la victime afin qu’elle lui envoie de l’argent en lui donnant l’impression qu’elle en reçoit. La victime se voit également présenter une fausse page de remboursement pour la convaincre qu’elle a reçu le remboursement et dans certains cas un SMS avec un faux message de remboursement pour empêcher la victime de soupçonner une fraude.
