Các cuộc tấn công BazarCall đang lạm dụng Google Forms để hợp pháp hóa các email lừa đảo

Chiến dịch tấn công BazarCall mới đã lạm dụng Google Forms để tạo và gửi biên lai thanh toán cho nạn nhân, nhằm mục đích khiến email lừa đảo có vẻ hợp pháp hơn.

BazarCall, được ghi nhận lần đầu tiên vào năm 2021, là một cuộc tấn công lừa đảo sử dụng email giống như một thông báo thanh toán hoặc xác nhận đăng ký cho phần mềm bảo mật, hỗ trợ máy tính, các nền tảng phát trực tuyến (streaming platforms) và các thương hiệu nổi tiếng khác.

Nội dung các email này cho biết người nhận sẽ được tự động gia hạn một gói đăng ký cực kỳ đắt tiền và nên hủy đăng ký nếu không muốn bị mất phí.

Tuy nhiên, thay vì chứa liên kết đến một trang web, email bao gồm số điện thoại được mô tả là thông tin liên hệ của chi nhánh dịch vụ chăm sóc khách hàng của thương hiệu đó.

Email mồi nhử trong cuộc tấn công BazarCall điển hình (Abnormal)

Các cuộc gọi được trả lời bởi kẻ lừa đảo giả danh bộ phận hỗ trợ khách hàng, lừa nạn nhân cài đặt phần mềm độc hại trên máy tính của họ.

Phần mềm độc hại có tên là BazarLoader - một công cụ để tải và cài đặt các payload (tệp/phần mềm độc hại) bổ sung trên thiết bị của nạn nhân.

Lạm dụng Google Biểu mẫu

Công ty bảo mật email Abnormal báo cáo rằng họ đã phát hiện một biến thể mới của cuộc tấn công BazarCall, đang lạm dụng Google Forms.

Bản sao biểu mẫu được gửi đến email mục tiêu (Abnormal)

Google Forms là một công cụ trực tuyến miễn phí cho phép người dùng tạo các biểu mẫu và câu hỏi tùy chỉnh, tích hợp chúng trên các trang web hay chia sẻ với người khác,...

Kẻ tấn công tạo biểu mẫu Google với các chi tiết của giao dịch giả mạo, chẳng hạn như số hóa đơn, ngày, phương thức thanh toán và thông tin liên quan về sản phẩm hoặc dịch vụ được sử dụng làm mồi nhử.

Tiếp theo, họ kích hoạt tùy chọn "nhận phản hồi" trong cài đặt, tùy chọn này sẽ gửi bản sao của biểu mẫu đã hoàn thành đến địa chỉ email được chỉ định.

Sử dụng địa chỉ email của mục tiêu, một bản sao của biểu mẫu đã hoàn thành, trông giống như một thông báo xác nhận thanh toán, sẽ được gửi đến mục tiêu từ máy chủ của Google.

Vì Google Forms là một dịch vụ hợp pháp nên các công cụ bảo mật email sẽ không gắn cờ hoặc chặn email lừa đảo, do đó việc gửi email đến người nhận dự kiến ​​sẽ khả thi.

Ngoài ra, email bắt nguồn từ một địa chỉ Google ("[email protected]") giúp tăng thêm tính hợp pháp cho nó.

Bản sao hóa đơn giả mạo bao gồm số điện thoại của kẻ lừa đảo mà người nhận được yêu cầu gọi trong vòng 24 giờ kể từ khi nhận được email để giải quyết các thắc mắc.

Báo cáo của Abnormal không đi sâu vào các giai đoạn sau của cuộc tấn công. Tuy nhiên, trước đây BazarCall được sử dụng để giành quyền truy cập ban đầu vào mạng công ty, thường dẫn đến các cuộc tấn công ransomware.

Để giảm thiểu nguy trở thành nạn nhân của các cuộc tấn công như vậy, người dùng luôn phải kiểm tra tính chính xác của các thông tin nhận được trong email trước khi làm theo bất kỳ điều gì được yêu cầu, không tải xuống và cài đặt phần mềm từ những nguồn không tin cậy. Nếu phát hiện bất kỳ điểm đáng ngờ nào, chẳng hạn như thông báo liên quan đến một dịch vụ mà bạn không sử dụng, số điện thoại hỗ trợ không được tìm thấy trên trang web chính thức của dịch vụ/thương hiệu, bạn nên xóa, bỏ qua email này.

Nguồn: bleepingcomputer.com.