Kriminellen von Bazarcall (teils auch Bazacall) versuchen per Phishing-E-Mails und Callcenter ihre Opfer zur Installation einer Schadsoftware zu verleiten. Vor dieser Gruppe warnt das Sicherheitsteam von Microsoft, die nach der von ihr initial verwendeten Schadsoftware Bazarloader benannt wurde.

Mit einer Phishing-E-Mail, welche die Opfer auf ein vermeintlich bald auslaufendes Probeabonnement hinweist, beginnen üblicherweise die Angriffe. Unter einer bestimmten Telefonnummer soll das Opfer das Abo kündigen, wenn dies nicht geschieht sollen angeblich monatliche Gebühr erhoben werden.

Microsoft Security Intelligence erklärt auf Twitter: "Wenn die Empfänger die Nummer anrufen, werden sie von einem betrügerischen Callcenter, das von den Angreifern betrieben wird, angewiesen, eine Webseite zu besuchen und eine Excel-Datei herunterzuladen, um den Dienst zu kündigen. Die Excel-Datei enthält ein bösartiges Makro, das die eigentliche Schadsoftware herunterlädt".

Die Gruppe verwendet laut dem Sicherheitsteam von Microsoft das Penetrationstest-Kit Cobalt Strike, um Zugangsdaten zu stehlen, darunter auch die Active-Directory-Datenbank. Die Eindringlinge können mit den Zugangsdaten dann beispielsweise weiter in Firmennetzwerke vordringen.

Die Erkennung sei eine Herausforderung, da die E-Mails selbst keine Schadelemente enthielten, schreibt das Sicherheitsteam von Microsoft. das Team stellt auf Github entsprechende Erkennungs-Querys, die auch von Microsoft 365 Defender verwendet werden, zur Verfügung. Bei Bedarf sollten diese aktualisiert werden.

(hv, hannover)

(siehe auch: golem.de)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE