Эксперты Proofpoint обнаружили новую фишинговую кампанию операторов BazarLoader, которые заражают устройства пользователей одноименным трояном. Ранее в его использовании была замечена известная группировка TrickBot.
Схема простая: жертве приходит письмо якобы от стримингового сервиса, с уведомлением, что срок действия пробной или демонстрационной версии подписки истек и с платежной карты пользователя будет взиматься плата за премиальный план. Дальше схема усложняется: в письме указан номер телефона, по которому получатели могут позвонить и отменить подписку. А злоумышленники уже голосом указывают, на какой сайт перейти для отмены (BravoMovies от компании UrbanCinema).
Затем пользователь загружает документ, якобы чтобы отписаться от премиальной подписки и не потерять деньги: макрос в таблице Excel устанавливает в его систему многофункциональный вредонос BazarLoader.
Не совсем понятно, зачем так усложнять схему (ссылка в письме могла бы вести сразу на страницу фишингового стриминга или даже содержать вредоносный документ), но по-видимому это работает.
Читайте также по этой теме:
Банкер TrickBot притворяется антивирусом и ворует деньги в обход 2ФА