Il callback phishing è una tecnica sempre più utilizzata per rubare dati e distribuire malware di ogni tipo. Gli esperti di Trellix hanno scoperto recenti campagne effettuate con il noto BazarCall che sfruttano nuove tattiche di ingegneria sociale per convincere le ignare vittime. La maggioranza degli attacchi è stata rilevata in Canada e Stati Uniti.
Evoluzione del callback phishing
Il “genitore” del callback phishing è BazarCall, apparso per la prima volta a fine 2020. La catena di infezione prevede innanzitutto l’invio di un’email con una falsa ricevuta di un abbonamento (servizio di streaming, software o altro) e un numero di telefono da contattare per annullare la sottoscrizione e/o ricevere il rimborso. Il presunto call center viene ovviamente gestito dai cybercriminali. A questo punto vengono utilizzate varie tattiche di ingegneria sociale per convincere la vittima a scaricare il malware sul computer che servirà come accesso remoto e downloader di altri malware.
Una delle nuove tattiche prevede la richiesta di alcuni dati per effettuare una verifica. Il malintenzionato afferma che non risulta nessuna ricevuta, quindi si tratta sicuramente di spam. Il truffatore suggerisce di scaricare un antivirus da un sito. In realtà si tratta del malware.
Simile suggerimento viene dato agli utenti che usano PayPal (e che hanno ricevuto una falsa ricevuta dal servizio). I cybercriminali mettono in allarme la vittima, affermando che l’account è stato compromesso, quindi deve scaricare un file (il malware) per “proteggere la connessione“.
In un altro caso viene chiesto all’utente se vuole cancellare l’abbonamento al prodotto di sicurezza preinstallato sul notebook e ricevere il rimborso. L’operazione può essere completata solo tramite un sito e il download di un file (il malware). Il controllo remoto avviene tramite ScreenConnect, un software legittimo di ConnectWise. Per ricevere il rimborso è ovviamente necessario inserire i dati di login del conto bancario.