Per Phishing-E-Mails und Callcenter versuchen die Kriminellen von Bazarcall (teils auch Bazacall) ihre Opfer zur Installation einer Schadsoftware zu verleiten. Das Sicherheitsteam von Microsoft warnt vor der Gruppe, die nach der von ihr initial verwendeten Schadsoftware Bazarloader benannt wurde.

Die Angriffe beginnen üblicherweise mit einer Phishing-E-Mail, welche die Opfer auf ein vermeintlich bald auslaufendes Probeabonnement hinweist. Sollte das Opfer das Abo nicht unter einer bestimmten Telefonnummer kündigen, werde in der Folge eine monatliche Gebühr erhoben.

„Wenn die Empfänger die Nummer anrufen, werden sie von einem betrügerischen Callcenter, das von den Angreifern betrieben wird, angewiesen, eine Website zu besuchen und eine Excel-Datei herunterzuladen, um den Dienst zu kündigen. Die Excel-Datei enthält ein bösartiges Makro, das die eigentliche Schadsoftware herunterlädt“, erklärt Microsoft Security Intelligence auf Twitter.

Der Trick, Schadsoftware per Office-Makros zu tarnen und zu installieren, wird bereits seit über 20 Jahren angewendet.

Laut dem Sicherheitsteam von Microsoft verwendet die Gruppe das Penetrationstest-Kit Cobalt Strike, um Zugangsdaten zu stehlen, darunter auch die Active-Directory-Datenbank. Mit den Zugangsdaten können die Eindringlinge dann beispielsweise weiter in Firmennetzwerke vordringen.

Da die E-Mails selbst keine Schadelemente enthielten, sei die Erkennung eine Herausforderung, schreibt das Sicherheitsteam von Microsoft. Entsprechende Erkennungs-Querys, die auch von Microsoft 365 Defender verwendet werden, stellt das Team auf GitHub zur Verfügung. Diese sollen bei Bedarf aktualisiert werden.

Autor des Artikels ist Moritz Tremmel.