应对安全软件越来越能过滤钓鱼信件,歹徒也发展出新招数,以成功传播恶意连接或恶意软件。安全厂商Proofpoint发现新的钓鱼邮件攻击,会结合电话客服中心诱使用户下载恶意软件。
研究人员本月发现一批钓鱼信件传播名为BazaLoader的后门程序。该公司是于2020年4月首次观察到BazaLoader,和Trickbot木马程序有很强关联性,目前也经常被歹徒用于下载Ryuk、Conti勒索软件。
今年2月,BazaLoader是经由钓鱼信件传播,冒充药商或内衣、鲜花服务,而最新的一波钓鱼邮件则伪装成流媒体影音娱乐服务BravoMovies,告知用户免费试用的服务已经到期,将开始经由信用卡收费。信中告知,用户如果不愿订阅,应以邮件所附电话号码,联系客服中心取消。信以为真的用户就会因此进入陷阱。
为取信于用户,它和一般钓鱼邮件一样,利用网络上的资源制作精美的视频,但特别的是,它加入名为BazaCall的手法,引导用户经由网站上FAQ页的电话和歹徒交互。当用户打电话给客服中心时,“客服人员”会引导用户前往网站“取消订阅页”下载一个Excel档(如下图)。这个文件含有宏,一经打开,就会下载BasaLoader。
图片来源_Proofpoint
图片来源_Proofpoint
这个感染链需要用户打电话和歹徒交互,还要下载软件,和一般钓鱼信件攻击的手法看似相反。但研究人员指出,传统钓鱼信件以附件挟带恶意程序,容易被安全软件侦测拦截。通过将用户引导离开邮件渠道,再主动下载程序的手法看似更麻烦,但安装成功机会更高。
使用客服中心并非钓鱼攻击的发明。数年前就有歹徒冒充微软、Google等技术支持服务,在用户打电话时,由假客服人员引导用户下载恶意程序,或引导他们打开远程连接,令其得以控制用户计算机,或收取高费用。