Microsoft 팀은 몇 달 동안 사용자를 위험에 빠트린 새로운 랜섬웨어 캠페인의 작동 방식을 Twitter에서 공유했습니다.
가짜 이메일, 불법 콜센터 전화번호, Excel 시트의 악성 코드는 사이버 범죄자들이 이 공격에 사용하는 전략의 일부입니다.
Microsoft의 사이버 보안 팀은 이 위협을 모니터링하고 있습니다., 사이버 범죄자가 사용자를 속이기 위해 취하는 단계에 대해 자세히 설명합니다.
우리는 사람이 조작하는 공격과 랜섬웨어 배포로 이어지는 활성 BazaCall 악성 코드 캠페인을 추적하고 있습니다. BazaCall 캠페인은 수신자가 특정 서비스에 대한 구독을 취소하기 위해 전화를 걸도록 유도하는 이메일을 사용합니다. pic.twitter.com/RS5wGSndhv
— Microsoft 보안 인텔리전스(@MsftSecIntel) 2021년 6월 22일
우리는 인간이 조작한 공격 및 랜섬웨어 배포로 이어지는 활성 BazaCall 악성 코드 캠페인을 추적하고 있습니다. BazaCall 캠페인은 수신자가 특정 서비스에 대한 구독을 취소하기 위해 전화를 걸도록 유도하는 이메일을 사용합니다.
따라서 모든 것은 사용자에게 특정 서비스의 평가판 기간이 곧 만료된다는 “알림” 이메일로 시작되며, 결제 수단이 이미 등록되어 있으므로 구독을 진행합니다.
이때 사용자는 이메일에 첨부된 전화번호로 전화를 걸 정도로 초조해지며 함정에 빠진다. 전화 번호 중 하나에 도달하면 웹 사이트에 액세스하고 Excel 파일을 다운로드하여 구독을 취소하라는 메시지가 표시됩니다.
사용자가 이 모든 단계를 수행하고 Excel 파일에 액세스하면 위의 이미지에서 볼 수 있듯이 Microsoft에서 보안 경고를 실행한다는 것을 알 수 있습니다. 그러나 사용자가 이 경고를 무시하고 콘텐츠를 활성화하면 악성 코드가 설치되고 사이버 범죄자에게 컴퓨터 문이 열립니다.
대부분의 사용자는 이메일 서비스가 일반적으로 스팸과 위협을 탐지하여 받은 편지함에서 제거한다고 믿습니다. 그러나 Microsoft 팀에서 언급했듯이 이러한 유형의 이메일은 보안 시스템의 경보를 유발하는 악성 요소가 포함되어 있지 않기 때문에 탐지하기 어렵습니다.