Sophos повідомив про нові кібератаки з використанням месенджера Slack, BaseCamp та голосових викликів
Sophos повідомила про нові кібератаки з використанням месенджера Slack, BaseCamp і голосових дзвінків
Sophos повідомляє про нові кібератаки, в яких оператори шкідливих програм BazarLoader використовують корпоративний месенджер Slack, інструмент BaseCamp і голосові дзвінки, щоб обдурити користувачів.
За словами дослідників, під час першої зловмисної кампанії зловмисники атакували співробітників великих організацій. Злочинці розсилали електронні листи, нібито містять важливу інформацію про контракти, обслуговування клієнтів, рахунки-фактури або нарахування заробітної плати.
"Один зразок спаму був замаскований під повідомлення про звільнення співробітника з роботи", - заявили експерти.
Посилання в електронних листах були розміщені в хмарному сховищі Slack або BaseCamp і виглядають законними для потенційної жертви, якщо користувач працює на організацію, яка використовує одну з цих платформ.
Після переходу за посиланням на пристрій жертви завантажується BazarLoader. Зв'язки зазвичай вказують безпосередньо на виконуваний файл із цифровим підписом із зображенням значка Adobe PDF. Шкідливі файли зазвичай називають презентацією-документом.exe, попереднім переглядом документа-[номер].exe або щорічним звітом.exe. Виконувані файли вводять корисне навантаження DLL в законні процеси Windows під час запуску.
"Зловмисне програмне забезпечення працює лише в пам'яті і не може бути виявлено, коли інструмент захисту кінцевих точок сканує файлову систему. Самі файли не використовують законне розширення .DLL », - пояснили експерти.
В рамках другої кампанії під назвою BazarCall в спам-повідомленнях не було підозрілих файлів або посилань. У листах шахраї сповіщали одержувача про закінчення терміну дії безкоштовної пробної версії використовуваного онлайн-сервісу і пропонували зателефонувати за номером телефону, щоб відмовитися від дорогої платної підписки. Якщо жертва вирішила зателефонувати, шахрай вказав адресу сайту, де можна було імовірно відписатися від сервісу.
Листи нібито надходили від Служби медичних нагадувань і містили номер телефону та адресу реальної офісної будівлі, розташованої в Лос-Анджелесі. В середині квітня в повідомленнях використовувалися приманки, пов'язані з фальшивою платною онлайн-бібліотекою BookPoint. В рамках цієї кампанії злочинці поширювали заражені документи Microsoft Office, які викликали команди на виконання однієї або декількох шкідливих бібліотек DLL.
