因應安全軟體愈來愈能過濾釣魚信件,歹徒也發展出新招數,以成功散佈惡意連結或惡意軟體。安全廠商Proofpoint發現新的釣魚郵件攻擊,會結合電話客服中心誘使用戶下載惡意軟體。
研究人員發現一批釣魚信件散佈名為BazaLoader的後門程式。該公司是於2020年4月首次觀察到BazaLoader,和Trickbot木馬程式有很強關聯性,目前也經常被歹徒用於下載Ryuk、Conti勒索軟體。
今年2月,BazaLoader是經由釣魚信件傳佈,冒充藥商或內衣、鮮花服務,而最新的一波釣魚郵件則偽裝成串流影音娛樂服務BravoMovies,告知用戶免費試用的服務已經到期,將開始經由信用卡收費。信中告知,用戶如果不願訂閱,應以郵件所附電話號碼,聯絡客服中心取消。信以為真的用戶就會因此踏入陷阱。
為取信於用戶,它和一般釣魚郵件一樣,利用網路上的資源製作精美的影片,但特別的是,它加入名為BazaCall的手法,引導用戶經由網站上FAQ頁的電話和歹徒互動。當用戶打電話給客服中心時,「客服人員」會引導用戶前往網站「取消訂閱頁」下載一個Excel檔(如下圖)。這個檔案含有巨集,一經開啟,就會下載BasaLoader。
這個感染鏈需要用戶打電話和歹徒互動,還要下載軟體,和一般釣魚信件攻擊的手法看似相反。但研究人員指出,傳統釣魚信件以附件挾帶惡意程式,容易被安全軟體偵測攔截。透過將用戶引導離開郵件管道,再主動下載程式的手法看似更麻煩,但安裝成功機會更高。
使用客服中心並非釣魚攻擊的發明。數年前就有歹徒冒充微軟、Google等技術支援服務,在用戶打電話時,由假客服人員引導用戶下載惡意程式,或引導他們開啟遠端連線,令其得以控制用戶電腦,或收取高費用。
(相關資訊來自iThome)
