Os ataques de BazarCall abusam do Google Forms para legitimar e-mails de phishing
14 de Dezembro de 2023

Uma nova onda de ataques BazarCall usa o Google Forms para gerar e enviar recibos de pagamento às vítimas, tentando fazer a tentativa de phishing parecer mais legítima.

BazarCall, documentado pela primeira vez em 2021, é um ataque de phishing que utiliza um email que parece uma notificação de pagamento ou confirmação de assinatura para software de segurança, suporte de computador, plataformas de streaming e outras marcas conhecidas.

Esses emails afirmam que o destinatário está sendo renovado automaticamente em uma assinatura extremamente cara e deve cancelá-la se não quiser ser cobrado.

No entanto, em vez de conter um link para um site, o email historicamente incluía um número de telefone para um suposto agente de atendimento ao cliente dessa marca, que pode ser contatado para contestar cobranças ou cancelar a assinatura.

As chamadas são atendidas por um criminoso cibernético fingindo ser suporte ao cliente, enganando as vítimas a instalar malware em seus computadores ao guiá-las através de um processo enganoso.

O malware é chamado BazarLoader e, como o nome sugere, é uma ferramenta para instalar payloads no sistema da vítima.

A empresa de segurança de e-mail Abnormal informa que encontrou uma nova variante do ataque BazarCall, que agora abusa do Google Forms.

Google Forms é uma ferramenta online gratuita que permite aos usuários criar formulários personalizados e quizzes, integrá-los em sites, compartilhá-los com outros, etc.

O invasor cria um Google Form com os detalhes de uma transação falsa, como o número da fatura, data, método de pagamento e informações diversas sobre o produto ou serviço usado como isca.

Em seguida, eles habilitam a opção "recibo de resposta" nas configurações, que envia uma cópia do formulário preenchido para o endereço de email submetido.

Usando o endereço de email do alvo, uma cópia do formulário preenchido, que parece uma confirmação de pagamento, é enviada ao alvo a partir dos servidores do Google.

Como o Google Forms é um serviço legítimo, as ferramentas de segurança de e-mail não marcarão ou bloquearão o email de phishing, então a entrega aos destinatários pretendidos é garantida.

Além disso, o fato de o e-mail ter origem em um endereço do Google ("[email protected]”) confere-lhe legitimidade adicional.

A cópia da fatura inclui o número de telefone do ator da ameaça, que os destinatários são instruídos a ligar dentro de 24 horas após o recebimento do email para fazer qualquer contestação, então o elemento de urgência está presente.

O relatório da Abnormal não aprofunda nas etapas mais tardias do ataque.

No entanto, BazarCall foi usado no passado para ganhar acesso inicial às redes corporativas, geralmente levando a ataques de ransomware.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...