微软网络安全研究人员正在寻找一个名为BazarCall的犯罪组织。该犯罪团伙正在利用呼叫中心用名为BazarLoader的恶意软件感染计算机,该软件已被用于分发勒索软件。该勒索软件背后的团伙自1月以来一直很活跃,值得注意的是,他们利用呼叫中心的操作员引导受害者在Windows电脑上安装他们的软件。
一旦安装,该恶意软件会提供进入WindowsPC的后门,允许犯罪分子发送后续恶意软件,扫描环境,并利用网络上的其他脆弱主机。这种攻击通常从一封钓鱼邮件开始,告知受害者他们电脑上的软件试用版已经过期,除非他们打电话取消试用,否则将自动收费。
微软正在重点关注该组织针对Office365用户发送的电子邮件。如果用户拨打电子邮件中的号码,攻击者运营的欺诈性呼叫中心会指示受害者访问一个网站并下载一个Excel文件来取消服务。在该下载的文件中,有一个恶意的宏,可以下载恶意软件载荷,使勒索软件得以安装。
据了解,该组织还使用CobaltStrike渗透测试工具来窃取证书,包括窃取活动目录数据库的数据。窃取活动目录数据库内容对企业用户来说是一个重大问题,因为它包含了组织的身份和凭证信息。
