Uma nova onda de ataques BazarCall usa o Google Forms para gerar e enviar recibos de pagamento às vítimas, tentando fazer a tentativa de phishing parecer mais legítima.
BazarCall, documentado pela primeira vez em 2021, é um ataque de phishing que utiliza um email que parece uma notificação de pagamento ou confirmação de assinatura para software de segurança, suporte de computador, plataformas de streaming e outras marcas conhecidas.
Esses emails afirmam que o destinatário está sendo renovado automaticamente em uma assinatura extremamente cara e deve cancelá-la se não quiser ser cobrado.
No entanto, em vez de conter um link para um site, o email historicamente incluía um número de telefone para um suposto agente de atendimento ao cliente dessa marca, que pode ser contatado para contestar cobranças ou cancelar a assinatura.
As chamadas são atendidas por um criminoso cibernético fingindo ser suporte ao cliente, enganando as vítimas a instalar malware em seus computadores ao guiá-las através de um processo enganoso.
O malware é chamado BazarLoader e, como o nome sugere, é uma ferramenta para instalar payloads no sistema da vítima.
A empresa de segurança de e-mail Abnormal informa que encontrou uma nova variante do ataque BazarCall, que agora abusa do Google Forms.
Google Forms é uma ferramenta online gratuita que permite aos usuários criar formulários personalizados e quizzes, integrá-los em sites, compartilhá-los com outros, etc.
O invasor cria um Google Form com os detalhes de uma transação falsa, como o número da fatura, data, método de pagamento e informações diversas sobre o produto ou serviço usado como isca.
Em seguida, eles habilitam a opção "recibo de resposta" nas configurações, que envia uma cópia do formulário preenchido para o endereço de email submetido.
Usando o endereço de email do alvo, uma cópia do formulário preenchido, que parece uma confirmação de pagamento, é enviada ao alvo a partir dos servidores do Google.
Como o Google Forms é um serviço legítimo, as ferramentas de segurança de e-mail não marcarão ou bloquearão o email de phishing, então a entrega aos destinatários pretendidos é garantida.
Além disso, o fato de o e-mail ter origem em um endereço do Google ("[email protected]”) confere-lhe legitimidade adicional.
A cópia da fatura inclui o número de telefone do ator da ameaça, que os destinatários são instruídos a ligar dentro de 24 horas após o recebimento do email para fazer qualquer contestação, então o elemento de urgência está presente.
O relatório da Abnormal não aprofunda nas etapas mais tardias do ataque.
No entanto, BazarCall foi usado no passado para ganhar acesso inicial às redes corporativas, geralmente levando a ataques de ransomware.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...