Microsoft advierte sobre un grupo de ciberdelincuentes llamado BazarCall que está utilizando agentes telefónicos de un call center para engañar a los usuarios para que instalen un potente malware.
El malware en cuestión, conocido como BazarLoader, se ha utilizado para distribuir ransomware, que cifra el sistema de archivos del ordenador y normalmente pide un rescate que debe pagarse en criptomoneda para recuperar los datos.
Según el analista de seguridad de Palo Alto Networks, Brad Duncan, BazarLoader «proporciona una puerta trasera para acceder a un equipo Windows infectado» y las infecciones suelen «seguir un patrón de actividad distinto.»
Desde febrero de 2021, escribió Duncan, los investigadores han notado un patrón inusual de actividad de agentes telefónicos realizando llamadas para infectar a los usuarios con este ransomware.
El primer paso en la cadena es un correo electrónico de phishing que informa al objetivo de que una suscripción de prueba de algún servicio ha terminado y comenzará a facturarse, indicando un número de teléfono para la atención al cliente.
Cuando se contacta con ellos, un operador del centro de llamadas les indica que descarguen una hoja de cálculo de Excel infectada, que activen las macros y que les informen de que se han dado de baja del servicio.
Sin que el objetivo lo sepa, BazarLoader adquiere el control de la máquina y puede descargar el malware que quiera.
La operación del centro de llamadas parece implicar a varias personas diferentes que siguen un guión básico. Un vídeo en YouTube muestra a alguien haciéndose pasar por una víctima y haciendo que un operador del centro le guíe a través del falso proceso de cancelación de la suscripción.