Posté le mai 30, 2021 à 17:57
DES HACKERS EXPLOITENT UN SITE DE STREAMING FRAUDULEUX POUR DIFFUSER LE DROPPER DU LOGICIEL MALVEILLANT BAZALOADER
Les recherches récentes de Proofpoint ont expliqué comment les hackers distribuent le logiciel malveillant BazaLoader en utilisant de faux sites. Les victimes sans méfiance sont attirées vers de faux sites de streaming où leurs coordonnées sont obtenues par des attaques de phishing.
Proofpoint a découvert pour la première fois ce type d’attaque en mai, lorsque des hackers ont créé un site falsifié pour attirer les internautes peu méfiants qui souhaitaient regarder des films en streaming. Le nom du site est baptisé « BravoMovies ». Pour donner l’impression que le site est fiable et digne de confiance, les hackers ont utilisé des affiches de films et d’autres contenus cinématographiques pour attirer les utilisateurs.
Tentatives de phishing par e-mail
Les utilisateurs qui se connectaient au faux site de streaming recevaient des e-mails confirmant leur abonnement au service. L’e-mail indiquait également que les utilisateurs utilisaient actuellement le site à titre d’essai gratuit, mais que leur abonnement payant de 39,99 dollars commencerait au bout d’un mois.
Les e-mails étaient soigneusement formulés pour que même certains internautes avertis ne puissent pas reconnaître qu’il s’agissait d’une arnaque. Les utilisateurs avaient la possibilité de se désabonner du service, ce qui n’était possible que par le biais d’une conversation téléphonique avec un représentant du service clientèle. Il est intéressant de noter que l’e-mail ne comportait aucun lien susceptible de susciter une inquiétude.
L’utilisateur qui souhaite se désabonner du service de streaming doit appeler le numéro du service clientèle indiqué dans l’e-mail. De l’autre côté de la conversation, l’agent du service clientèle demande à l’utilisateur de se rendre dans la section FAQ du site et de suivre la méthode de désabonnement indiquée.
L’utilisateur est invité à télécharger une feuille Excel parmi les étapes à suivre. Or, la feuille Excel contient des macros, qui téléchargeront ensuite le BazaLoader sur l’appareil de l’utilisateur.
Proofpoint a déclaré que les utilisateurs de BravoMovies qui reçoivent des e-mails les informant de leur abonnement doivent rester vigilants afin d’éviter d’être victimes d’une attaque de logiciel malveillant. La meilleure façon d’éviter cette menace est de ne pas tenir compte de tout courriel provenant prétendument du site. Appeler le numéro du service clientèle et télécharger la feuille d’Excel causeraient de gros dégâts aux utilisateurs.
Ray Walsh, expert en confidentialité numérique chez ProPrivacy, a déclaré que le site Web est conçu pour que les utilisateurs aient du mal à détecter toute forme de malveillance. Le site dispose également d’une liste détaillée de films populaires qui pourraient intéresser les utilisateurs. Tout internaute qui a utilisé BravoMovies pour diffuser des films en streaming est donc exposé à un risque d’attaque. Parfois, le BazaLoader peut être utilisé par des acteurs de la menace pour installer des ransomwares.
À propos de BazaLoader
BazaLoader est un téléchargeur malveillant codé en C++. Proofpoint a détecté ce téléchargeur pour la première fois en avril 2020. Cependant, son utilisation a depuis augmenté, de nombreux hackers l’utilisant pour déployer des ransomwares tels que Conti et Ryuk. Proofpoint soupçonne également que BazaLoader pourrait être un style similaire utilisé par les hackers derrière le logiciel malveillant Trick, populairement connu sous le nom de Trickbot. Dans certains cas, le logiciel malveillant Trickbot a été utilisé comme alternative à BazaLoader.
L’astuce consistant à utiliser des appels téléphoniques dirigés vers de faux représentants du service clientèle pour déployer des logiciels malveillants a débuté en février 2021. Selon les chercheurs, cette méthode d’exploitation est également connue sous le nom de « BazarCall ». L’utilisation de BazaLoader a également été associée à de nombreux efforts physiques de la part de véritables humains. En plus d’être utilisé sur des sites de diffusion de films, le téléchargeur a été utilisé sur des commandes en ligne de fleurs, de lingerie et de produits pharmaceutiques.
L’une des particularités de l’utilisation de vrais humains dans les attaques de logiciels malveillants est qu’elle minimise le taux de suspicion. Cela permet également de s’assurer qu’une attaque est exécutée sans déclencher de signaux d’alarme, ce qui est observé lors de l’envoi de liens de logiciels malveillants par courrier électronique. Proofpoint pense également que ce n’est pas la fin des attaques et que l’utilisation de BazaLoader reprendra à l’avenir.