小心社交工程！網釣信件以客服中心騙用戶在PC上安裝惡意程式

道高一尺，魔高一丈，釣魚信件歹徒讓用戶相信他們不知何時訂閱了串流影片服務，迫使他們輸入電話號碼來取消，然後一名「客服人員」引導他們在Windows電腦上安裝BazaLoader程式。

BazaLoader進入Windows電腦後即會在機器上開了個後門，可作為植入其他惡意程式，包括勒索軟體的敲門磚。過去Ryuk經常透過BazaLoader下載，表示BazaLoader成功的攻擊往往會帶來毁滅性後果。

最近一波BazaLoader攻擊則是仰賴人為互動，以及錯縱複雜的攻擊鏈，後者大幅降低惡意程式被偵測到的機率。

安全廠商Proofpoint安全研究人員分析，這波網釣攻擊第一階段發送數萬封號稱來自BravoMovies的釣魚信件，其實BravieMoives是歹徒捏造的串流影片服務。

用戶連到的網站相當逼真，而且歹徒甚至還利用網路上的公開圖片製作成假影片，但網站上有眾多拼字錯誤，用戶只要仔細看就會發現馬腳。

用戶接到的釣魚信件宣稱他們註冊了影片的試用服務，之後會一個月收費39.99美元，但用戶只要撥打技術支援電話到客服中心取消訂閱服務就不必付錢。

一旦用戶撥電話到「客服中心」，客服人員會親切地引領他們前往「取消訂閱」網站取消訂閱—但實際上，不知情的受害者被引導到惡意網站點入連結，然後在電腦上下載Excel試算表。這個Excel表內建巨集，一經啟用，即會悄悄在電腦上安裝BazaLoader。

雖然這招攻擊者要多花一些工夫，導引用戶從非信件中環境下載惡意程式。因為信件中的附件很容易被威脅偵測軟體封鎖，但讓使用者主動打客戶電話，就可以繞過安全防護，使惡意程式的下載和安裝都更難以偵測。

社交工程是此類攻擊鏈的成功關鍵，駭客可藉此誘使收信者採取行動，完成整個攻擊鏈，進而將惡意程式安裝到電腦上，Proofpoint威脅研究和偵測處長Sherrod DeGrippo指出。

資安部門應訓練用戶辨識和通報惡意釣魚郵件的能力。另外，一封宣稱如果你不打電話，信用卡帳戶會被收費的信件會造成緊張，這是釣魚信件常用技侕，用戶一著急就會失去理智而降低戒心，而被歹徒牽著鼻子走。

來源：ZDNet