A támadások új hulláma a Google Forms segítségével fizetési bizonylatokat generál és küld az áldozatoknak, így próbálva az adathalász kísérletet legitimebbnek feltüntetni.
Az először 2021-ben dokumentált BazarCall egy olyan adathalász támadás, amely biztonsági szoftverek, számítógépes helpdesk, streaming platformok és más ismert márkák fizetési értesítésére vagy előfizetési visszaigazolásra hasonlító e-mailt használt. Ezekben az áll, hogy a címzett automatikusan megújít egy felháborítóan drága előfizetést, és le kell mondania azt, ha nem akarja, hogy a díjat számoljanak fel. Ahelyett azonban, hogy egy weboldalra mutató linket tartalmazna, az e-mailben történetesen az adott márka állítólagos ügyfélszolgálati ügyintézőjének telefonszáma szerepel, akivel kapcsolatba lehet lépni a díjak vitatása vagy az előfizetés lemondása érdekében.
A hívásokat egy magát ügyfélszolgálatosnak kiadó kiberbűnöző fogadja, aki megtévesztések során keresztül vezetve az áldozatokat rávesz, hogy rosszindulatú szoftvereket telepítsenek a számítógépükre. A malware neve BazarLoader, és ahogy a neve is mutatja, ez egy olyan eszköz, amellyel további payload-okat lehet telepíteni az áldozat rendszerére.
Az Abnormal nevű biztonsági cég arról számolt be, hogy a BazarCall támadás egy új változatával találkozott, amely most a Google Forms programmal él vissza.
A Google Forms egy ingyenes online eszköz, amely lehetővé teszi a felhasználók számára, hogy egyéni űrlapokat és kvízeket hozzanak létre, integrálják azokat a webhelyekre, megosszák másokkal stb.
A támadó létrehoz egy Google Form-ot egy hamis tranzakció részleteivel, például a számlaszámmal, a dátummal, a fizetési móddal és a csaliként használt termékkel vagy szolgáltatással kapcsolatos különféle információkkal. Ezután a beállításokban engedélyezik a “válaszátvételi elismervény” opciót, amely elküldi a kitöltött űrlap másolatát a beküldött e-mail címre. A célpont e-mail címét használva a Google elküldi a célpontnak a kitöltött űrlap másolatát, amely úgy néz ki, mint egy fizetési visszaigazolás.
Mivel a Google Forms egy törvényes szolgáltatás, az e-mail biztonsági eszközök nem jelzik vagy blokkolják az adathalász e-mailt, így a címzetteknek való kézbesítés garantált. Emellett az a tény, hogy az e-mail egy Google-címről (noreply@google.com
) származik, további legitimitást kölcsönöz neki.
A számlamásolat tartalmazza a támadó telefonszámát, amelyet a címzettek az e-mail kézhezvételétől számított 24 órán belül fel kell hívnia az esetleges vitás kérdésekkel kapcsolatban, így sürgetve az áldozatot.
Az Abnormal jelentése nem tér ki a támadás későbbi szakaszaira. A BazarCall-t a múltban arra használták, hogy kezdeti hozzáférést szerezzenek a vállalati hálózatokhoz, ami általában ransomware támadásokhoz vezetett.