Les cybercriminels ont créé un faux service de streaming dans le but final d’inciter les utilisateurs à installer le cheval de Troie BazaLoader sur leurs systèmes selon une nouvelle recherche de Proofpoint.
La société de cybersécurité a observé pour la première fois la campagne sur le thème du divertissement en mai de cette année alors qu’elle se faisait passer pour un véritable service de streaming en ligne avec un site Web élégant proposant de faux films.
La campagne elle-même est utilisée pour diffuser BazaLoader qui a la capacité de télécharger et d’installer des modules supplémentaires sur les systèmes de la victime. Plusieurs acteurs de la menace utilisent actuellement le chargeur pour distribuer des ransomwares, notamment Ryuk et Conti.
Selon l’analyse de Proofpoint, l’entreprise peut affirmer avec une grande confiance qu’il existe un fort chevauchement entre l’activité de distribution et de post-exploitation de BazaLoader et les cybercriminels derrière le malware Trickbot.
Sommaire
BravoMovies
La dernière campagne BazaLoader commence avec des victimes potentielles recevant un e-mail leur disant que leur période d’essai est terminée et qu’elles seront facturées 39,99 $ par mois à moins qu’elles n’annulent leur abonnement au faux service de streaming BravoMovies.
Ces e-mails de phishing contiennent un numéro de téléphone que les utilisateurs peuvent appeler s’ils souhaitent annuler leur abonnement. Si un utilisateur appelle ce numéro, un représentant du service client le guidera verbalement vers le site Web de BravoMovies. Les cybercriminels derrière cette campagne ont certainement fait leurs devoirs car le site ressemble à un véritable service de streaming complet avec de faux films et affiches, une FAQ, des détails sur les prix et même un essai gratuit.
Lorsqu’un utilisateur visite le site Web de BravoMovies, se dirige vers la section FAQ et suit les instructions pour se désinscrire via la page «Abonnement», il lui sera demandé de télécharger une feuille de calcul Excel. Ce document leur demande alors «d’activer le contenu» et des macros malveillantes sont utilisées pour télécharger BazaLoader.
La raison pour laquelle cette campagne a été un succès jusqu’à présent est due au fait que de nombreux téléspectateurs se sont inscrits et ont ensuite annulé plusieurs services de streaming pendant la pandémie. Les cybercriminels sont bien conscients de ces comportements, c’est pourquoi ils les ont utilisés à leur avantage lors du lancement de cette nouvelle campagne BazaLoader.
Pour éviter d’être victime de cette campagne et d’autres similaires, les utilisateurs ne doivent s’inscrire à des services de streaming réputés qu’après avoir effectué leurs recherches et se rappeler que si quelque chose semble trop beau pour être vrai, c’est probablement le cas.
