偽のコールセンターがユーザーを騙してランサムウェアやデータ窃盗プログラムをインストールさせる

「BazaCall」として知られる巧妙な悪意あるキャンペーンは、偽のコールセンターを利用して危険なマルウェアを拡散し、疑いを持たないユーザーをターゲットにしています。これらの攻撃者は、悪意のある URL や感染した添付ファイルなどの従来の戦術に頼るのではなく、音声フィッシング (ビッシング) アプローチを使用して、被害者を騙してマルウェアをダウンロードさせ、データを盗み出したり、ランサムウェアを展開したりします。

BazaCallの仕組み

BazaCall キャンペーンは、受信者に近々サブスクリプション料金が請求されることを警告する偽の電子メールから始まります。この問題を解決するために、電子メールは受信者に特定の番号に電話するように指示します。このトリックに騙された人は、詐欺コール センターのライブ エージェントと話すことになり、一連の手順を踏むと BazaLoader マルウェアがダウンロードされます。

BazaLoader（別名BazarBackdoor）は、ハッカーにとって強力なツールです。C++で書かれており、感染したコンピュータに他の悪意のあるソフトウェアをインストールするダウンローダーとして機能します。このマルウェアは機密情報を盗み出す能力があり、RyukやContiなどのランサムウェアなどのさらなる脅威への道を開く可能性があります。2020年4月に初めて特定されたBazaLoaderは、その汎用性とステルス性により、複数のサイバー犯罪グループによって使用されてきました。

Microsoft 365 Defender 脅威インテリジェンス チームによると、BazaLoader がシステムに侵入すると、攻撃者は最初の感染から 48 時間以内に重要なデータにアクセスし、資格情報を盗み、ランサムウェア攻撃を開始できるようになります。

人間主導の攻撃の危険な魅力

BazaCall がこれほど陰険な理由の 1 つは、人間のオペレーターを使って被害者を騙し、マルウェアをダウンロードさせることです。フィッシング メールには、通常の悪意のあるリンクや添付ファイルが含まれていないため、セキュリティ ソフトウェアがこれらの攻撃を検出してブロックするのは非常に困難です。

BazaCall の背後にいる攻撃者は、洗練された感染方法さえも開発しています。2023 年初頭、Palo Alto Networks と Proofpoint の研究者は、ユーザーを騙して偽の電子書籍サービスや映画ストリーミング プラットフォームの Web サイトを訪問させるという操作を暴露しました。これらの不正なサイトにアクセスすると、被害者は BazaLoader マルウェアが仕込まれた Excel スプレッドシートをダウンロードするよう促されます。

Microsoft が発見した最新の攻撃にも、同様の戦術が使われています。コール センターのエージェントが被害者を偽のレシピ Web サイト (topcooks[.]us) に誘導し、そこでマルウェアが「試用サブスクリプションのキャンセル」プロセスの一環としてひそかに展開されます。コール センターのエージェントが関与することで、ソーシャル エンジニアリングの層が加わり、BazaCall はさらに危険になります。

BazaCall キャンペーンの防御

BazaCall 攻撃チェーンは、マルウェア キャンペーンがますます巧妙化していることを示しており、人間とのやり取りが戦略の重要な部分となっています。自動化されたマルウェア攻撃とは異なり、この実践的なアプローチでは、組織が脅威を検出して迅速に対応することがより困難になります。

このような複雑な攻撃から身を守るために、専門家は、包括的な防御策を開発するために、クロスドメイン セキュリティとさまざまなイベント間の強力な相関関係の必要性を強調しています。異常な発信通信の監視、従業員の意識向上トレーニング、疑わしいサブスクリプション料金への警戒は、これらの脅威に対抗するための予防策のほんの一部です。

サイバーセキュリティは進化し続けていますが、攻撃者の戦術も進化しています。BazaCall のようなますます複雑化するマルウェア攻撃から身を守るには、警戒と多層防御が不可欠です。