C’est ainsi que la société de cybersécurité alerte Proofpoint. La société a observé pour la première fois l’apparition de la campagne en mai de cette année, se présentant comme un site Web en streaming avec un site Web bien conçu et de faux films.
Au lieu de proposer des films, le Web distribue les BazaLoader, qui, bien que cela puisse paraître inerte au premier abord, a en fait la possibilité de télécharger et d’installer des modules supplémentaires sur l’ordinateur de la victime. Pour cette raison, de nombreux attaquants l’utilisent pour télécharger des modules avec des ransomwares aussi dangereux que Ryuk et Conti.
BravoMovies: un faux site de films
La principale voie de distribution de BazaLoader est à travers BravoMovies. Les victimes potentielles reçoivent un e-mail leur indiquant que leur période d’essai gratuite se termine sous peu et qu’elles seront facturées 39,90 $ par mois si elles ne se désabonnent pas de BravoMovies.
Cette plate-forme de streaming n’existe pas vraiment et le courrier électronique cherche à effrayer les utilisateurs en leur demandant d’appeler un numéro de téléphone. Dans ce numéro, les utilisateurs sont guidés à travers le Web, ce qui semble réel, avec des couvertures de films, une FAQ, des détails sur les prix et l’essai gratuit supposé.
Lorsque l’utilisateur entre dans la section pour se désinscrire, il est invité à télécharger un Feuille de calcul Excel. Lorsqu’ils l’ouvrent, le document leur demande « d’activer le contenu », et à partir de là, ils commencent à exécuter des macros qui téléchargent le BazaLoader.
Erreurs de grammaire ou faux sites Web: vérifiez vos e-mails
Les attaquants savent clairement que de nombreux utilisateurs se sont abonnés à plateformes de streaming pendant la pandémie et, dans certains cas, ils peuvent avoir oublié l’une de ces plates-formes. Par conséquent, ils cherchent à effrayer les utilisateurs afin qu’ils se rendent rapidement sur le faux site Web et annulent l’abonnement.
Comme toujours avec ces types d’attaques, il est important de connaître le type de courrier qui nous parvient, et si nous nous sommes réellement abonnés à ce service. Une simple recherche sur Google nous montre que le Web n’existe pas. Vérifier le courrier électronique pour une langue étrange est également un signe important qu’il s’agit d’un faux courrier électronique. Par exemple, « Nous avons de la chance que vous ayez aimé » est clairement mal orthographié, car beaucoup de ces pirates n’ont pas l’anglais comme langue maternelle et font de nombreuses fautes d’orthographe et de grammaire. Savoir comment se protéger des ransomwares est également important.
Les attaquants ont utilisé divers domaines, tels que urbancinema.net, bravomovies.net et bvcinema.net. Aucun d’eux ne fonctionne plus.