BazarCall saldırılarının yeni dalgası, kimlik avı girişimini daha meşru göstermeye çalışarak ödeme makbuzlarını oluşturup kurbanlara göndermek için Google Formlar’ı kullanıyor.
İlk olarak 2021’de belgelenen BazarCall, güvenlik yazılımına, bilgisayar desteğine, akış platformlarına ve diğer tanınmış markalara yönelik ödeme bildirimine veya abonelik onayına benzeyen bir e-posta kullanan bir kimlik avı saldırısıdır.
Bu e-postalar, alıcının aşırı derecede pahalı bir aboneliğe otomatik olarak yenilendiğini ve ücretlendirilmek istemiyorsa bunu iptal etmesi gerektiğini belirtir.
Ancak e-posta, geçmişte bir web sitesine bağlantı yerine, söz konusu markanın müşteri hizmetleri temsilcisi olduğu iddia edilen ve ücretlere itiraz etmek veya aboneliği iptal etmek için iletişime geçilebilecek bir telefon numarasını içeriyordu.
Çağrılar, müşteri desteği gibi davranan ve mağdurları aldatıcı bir süreçte yönlendirerek bilgisayarlarına kötü amaçlı yazılım yüklemeleri için kandıran bir siber suçlu tarafından yanıtlanıyor.
Kötü amaçlı yazılımın adı BazarLoader’dır ve adından da anlaşılacağı gibi kurbanın sistemine ek yükler yüklemeye yönelik bir araçtır.
Google Formların Kötüye Kullanımı
E-posta güvenlik firması Abnormal, BazarCall saldırısının artık Google Formlar’ı kötüye kullanan yeni bir versiyonuyla karşılaştığını bildirdi.
Google Forms, kullanıcıların özel formlar ve testler oluşturmasına, bunları sitelere entegre etmesine, başkalarıyla paylaşmasına vb. olanak tanıyan ücretsiz bir çevrimiçi araçtır.
Saldırgan, sahte bir işlemin fatura numarası, tarihi, ödeme yöntemi gibi ayrıntılarını ve yem olarak kullanılan ürün veya hizmete ilişkin çeşitli bilgileri içeren bir Google Formu oluşturur.
Daha sonra ayarlarda, doldurulmuş formun bir kopyasını gönderilen e-posta adresine gönderen “yanıt alındısı” seçeneğini etkinleştirirler.
Hedefin e-posta adresi kullanılarak, doldurulmuş formun ödeme onayına benzeyen bir kopyası Google’ın sunucularından hedefe gönderilir.
Google Forms yasal bir hizmet olduğundan, e-posta güvenlik araçları kimlik avı e-postasını işaretlemez veya engellemez; böylece hedeflenen alıcılara teslimat garanti edilir.
Ayrıca, e-postanın bir Google adresinden (“[email protected]”) gelmesi, ona ek bir meşruiyet kazandırır.
Fatura kopyası, tehdit aktörünün telefon numarasını içeriyor; alıcılara herhangi bir anlaşmazlıkta bulunmak için e-postanın alınmasından itibaren 24 saat içinde bu numarayı aramaları söyleniyor, dolayısıyla aciliyet unsuru mevcut.
Anormal’in raporu saldırının sonraki aşamalarına değinmiyor. Ancak BazarCall geçmişte kurumsal ağlara ilk erişim sağlamak için kullanılmış ve genellikle fidye yazılımı saldırılarına yol açmıştı.