skip to Main Content

Cybercrime, BazaLoader si dà allo Streaming con BravoMovies

di Pierguido Iezzi

I ricercatori di cybersecurity di Proofpoint: nuova campagna complessa e ramificata per veicplare BazaLoader

I ricercatori di cybersecurity di Proofpoint hanno rivelato i dettagli relativi a una nuova campagna che ha come protagonista BazaLoader. Si tratta di un’operazione complessa e ramificata che si baserebbe anche su un call center operativo in tempo reale e un servizio di “supporto clienti”. La catena d’infezione utilizzata dal gruppo del cybercrime dietro al malware è elaborata e include anche la creazione di finti siti di streaming di film di grande successo.Secondo quanto emerge dal report, gli aggressori che hanno diffuso il codice malevolo avrebbero anche creato il sito BravoMovies per ingannare i visitatori, attraverso pagine web (ma sarebbe meglio definirle landing page, essendo parte di un funnel criminale) sulle quali sono visibili titoli di film fra i più gettonati del momento.

Come si svolge l’attacco per infettare le macchine col malware

La catena offensiva è complessa e presenta numerosi elementi d’interesse. Alla luce di determinati elementi operativi, è ragionevole pensare che ci sia una corrispondenza fra i responsabili della distribuzione e dello “sfruttamento” del malware Bazaloader e i criminali che operano il noto Trickbot. Gli step principali sono i seguenti:

  • Viene inviata un’email che contiene il numero telefonico di contatto e altri riferimenti di BravoMovies, il finto sito di streaming citato più in alto.
  • Nel corpo dell’email si avvisa il destinatario che verrà addebitato un costo di servizio (per una fantomatica iscrizione) a meno che l’utente non “disdica” questo servizio.
  • Nel caso in cui il destinatario decida di chiamare il numero telefonico presente nell’email, uno specialista del “supporto clienti” aiuterà l’utente a muoversi all’interno del sito web fasullo affinché cada nella trappola.
  • In allegato alla mail non è presente alcun malware, elemento che differenzia sostanzialmente questa campagna rispetto ad altre simili viste in passato.

Un finto pregevole associato al phishing

Dal punto di vista esteriore, BravoMovies è simile sotto molti aspetti a siti simili e legittimi, specializzati nello streaming di film, serie televisive o altri programmi. A corredo dei titoli cinematografici sono anche presenti immagini delle locandine e altri elementi provenienti da altre fonti per rendere più credibile il sito nel suo complesso. Anche in questo caso, nonostante la complessità del meccanismo e delle operazioni criminali, l’elemento fondamentale affinché lo schema offensivo si realizzi è che il tentato phishing vada a buon fine. Infatti, la comunicazione con l’utente è tesa a far credere che quest’ultimo sia iscritto al sito BravoMovies e che, essendo scaduto il periodo di prova gratuita di 30 giorni, debba essere applicato un costo mensile di 39,99 $.  A seguito della chiamata l’operatore del call center conduce la vittima verso la sezione “FAQ” del sito, sulla quale sono indicate chiaramente delle istruzioni. Tali step dovrebbero teoricamente portare l’utente a di iscriversi dal servizio, attraverso il download di un file Excel. Questo file contiene delle macro che, una volta attivate, scaricano il malware vero e proprio: Bazaloader.

Cos’è Bazaloader?

Dal punto di vista tecnico si tratta di un downloader scritto in C++. Questo downloader ha come scopo principale quello di scaricare e installare altri moduli contenenti i payload veri e propri. Questo malware è stato osservato per la prima volta nell’aprile del 2020 ed è attualmente utilizzato da diversi threat actor come vettore iniziale, seguito poi dal download di malware più potenti e pericolosi come Conti e Ryuk.

Un’operazione professionale: BazarCall

Non è consuetudine vedere un’operazione del cybercrime decidere di strutturarsi in maniera così ampia e “costosa”, facendo leva su un vero e proprio call center di supporto. Ma in questo caso specifico, l’attività legata a questo schema andrebbe avanti da febbraio 2021. In gergo tecnico questa metodologia viene chiamata “BazarCall” e, come in altri casi del passato (relativi al settore farmaceutico e dell’acquisto online di indumenti intimi o fiori), richiede un forte intervento umano affinché il malware venga scaricato, installato e vengano così innescati gli step successivi.

Perché si utilizzano i call center?

L’obiettivo principale di una catena di attacco così complessa (e così fortemente basata sull’azione umana) è sempre lo stesso: ottenere ritorni economici superiori. Infatti, i servizi antivirus solitamente installati nelle macchine delle vittime, renderebbero complesso un approccio più automatizzato e meno manuale.  In un certo senso, l’efficacia delle misure difensive volte a rendere innocue campagne offensive con malware allegati a email di phishing o contenenti link dannosi, ha costretto i criminali a evolversi.

Come proteggersi da questa minaccia

Dopo aver detto chiaramente che tale campagna ha come obiettivo solo persone di madrelingua inglese, è importante sottolineare che i meccanismi che stanno alla base potrebbero mietere vittime anche in Italia. Dal punto di vista pratico, reso inefficace un sistema di rilevamento automatico di virus, malware o altre minacce, è necessario investire sulla formazione dell’utente. Per questo motivo è bene che le persone siano consapevoli dei rischi legati al phishing; le campagne sono sempre più complesse proprio al fine di ingannare le persone più deboli. Sarebbe inoltre opportuno segnalare queste email al proprio provider o a servizi simili, affinché vengano svolte indagini più complesse, con l’obiettivo di comprendere il modus operandi dei criminali e bloccarne del tutto l’attività. Ecco perché è importante che le aziende e i singoli utenti rimangano sempre vigili e si aggiornino costantemente in merito agli ultimi trend per non rimanere sorpresi da campagne di phishing che sfruttano canali comunicativi più complessi.

Non abbassiamo la guardia!

Back To Top