Una nueva ola de ataques de BazarCall utiliza Google Forms para generar y enviar recibos de pago a las víctimas, intentando que el phishing parezca más legítimo.
BazarCall, documentado por primera vez en 2021, es un ataque de phishing que utiliza un correo electrónico que se asemeja a una notificación de pago o confirmación de suscripción a software de seguridad o soporte informático., plataformas de streaming y otras marcas conocidas.
Estos correos electrónicos indican que el destinatario se renueva automáticamente con una suscripción escandalosamente costosa y debe cancelarla si no quiere que se le cobre.
Sin embargo, en lugar de contener un enlace a un sitio web, el correo electrónico históricamente incluía un número de teléfono de un supuesto agente de servicio al cliente de esa marca, a quien se puede contactar para disputar los cargos o cancelar la suscripción.
Las llamadas son respondidas por un ciberdelincuente que se hace pasar por servicio de atención al cliente y engaña a las víctimas para que instalen malware en sus computadoras guiándolas a través de un proceso engañoso.
El malware se llama BazarLoader y, como sugiere el nombre, es una herramienta para instalar cargas útiles adicionales en la computadora de la víctima.
Abuso de formularios de Google
Empresa de seguridad de correo electrónico Abnormal informa que ha encontrado una nueva variante del ataque BazarCall, que ahora abusa de Google Forms.
Google Forms es una herramienta en línea gratuita que permite a los usuarios crear formularios y cuestionarios personalizados, integrarlos en sitios, compartirlos con otros, etc.
El atacante crea un formulario de Google con los detalles de una transacción falsa, como el número de factura, la fecha, el método de pago e información diversa sobre el producto o servicio utilizado como cebo.
A continuación, habilitan la función de "recibo de respuesta". opción en la configuración, que manda una copia del formulario completado a la dirección de correo electrónico enviada.
Utilizando la dirección de correo electrónico del objetivo, se envía desde los servidores de Google una copia del formulario completado, que parece una confirmación de pago.
Como Google Forms es un servicio legítimo, las herramientas de seguridad del correo electrónico no marcarán ni bloquearán el correo electrónico de phishing, por lo que se garantiza la entrega a los destinatarios previstos.
Además, el hecho de que el correo electrónico provenga de una dirección de Google ("noreply@google.com") le confiere legitimidad adicional.
La copia de la factura incluye el número de teléfono del atacante, al que se les pide a los destinatarios que llamen dentro de las 24 horas posteriores a la recepción del correo electrónico para presentar cualquier disputa, por lo que el elemento de urgencia está presente.
El informe de Abnormal no profundiza en las últimas etapas del ataque. Sin embargo, BazarCall se utilizó en el pasado para obtener acceso inicial a redes corporativas, lo que normalmente provocaba ataques de ransomware.
