Cyberthreat.id – Geng peretas jahat, BazarCall, terpantau memakai taktik instruksi pusat panggilan (call center) untuk mengunduh ransomware di perangkat yang ditargetkan.

Menurut Microsoft, dikutip dari ZDNet, diakses Kamis (24 Juni 2021), BazarCall membawa sebuah malware “BazarLoader” yang didesain untuk membawa dan mendistribusikan ransomware. BazarCall atau Bazacall ditengarai aktif sejak Januari lalu.

Tim keamanan siber Microsoft menyebutkan, geng tersebut memakai serangan awal berupa email pengelabuan/jebakan (phishing) yang menargetkan pengguna Office 365. Email tersebut mengaku berasal dari perusahaan teknologi yang mengklaim bahwa calon korban telah mengunduh versi demo yang akan kedaluwarsa dalam waktu 24 jam.

Selanjutnya calon korban diberitahu bahwa akan ada pengenaan biaya untuk perangkat lunak itu secara otomatis, kecuali mereka mengontak call center yang tersedia untuk pembatalan langganan.

“Ketika calon korban mengontak nomor tersebut, pusat panggilan palsu itu dioperasikan oleh peretas. Calon korban lalu diinstruksikan untuk mengunjungi situs web dan mengunduh file Excel untuk membatalkan layanan. File ini sebetulnya berisi macro jahat yang mengunduh muatan malware,” tulis Microsoft Security Intelligence.

Microsoft juga mendeteksi bahwa geng peretas itu menggunakan alat pentest Cobalt Strike untuk mencuri informasi kredensial korban, termasuk database Active Directory (AD). Cobalt Strike sering digunakan untuk pergerakan lebih luas di jaringan korban setelah penyusupan awal. Pencurian AD ini bisa menjadi masalah besar bagi organisasi karena berisi informasi identitas dan kredensial lain.[]