偽サポートの電話番号を記載したメールを配布するBazarCallキャンペーン

 日本でサポート詐欺と呼ばれているサイバー犯罪と類似のサイバー犯罪キャンペーンに、メールを使って偽装サポートに誘導するBazarCallキャンペーンがあります。BazarCallの背後にはContiやRyukなどのランサムウェアで知られるロシアを拠点としたサイバー犯罪グループがあるとみられています。

BazarLoaderのダウンロードを誘導

 BazarCallキャンペーンは、サブスクリプションの無料期間が終了するため契約を解除しないと料金が発生するなどといった内容のメールを送り付け、メールに記載の電話番号へとメール受信者を誘導するものです。メール受信者が電話をすると偽のサポートとつながり、指示に従って操作をするとBazarLoaderと呼ばれるマルウェアが端末にダウンロードされてしまいます。BazarLoaderの配布はURLを記載したフィッシングメールでも行われているようですが、URLではなくサポートを装った電話番号をメールに記載して誘導するのがBazarCallです。

 BazarLoaderが端末にダウンロードされるとバックドアが作られ、ランサムウェアなどのマルウェアを攻撃者がインストールすることが可能になるということです。ランサムウェアのRyukでは、Emotetに感染後、Trickbotが配布されてローダーとなってRyukが展開されるという流れがありました。また2020年にBazarLoaderとContiランサムウェアが登場し、BazarLoaderによってContiランサムウェアが展開される手法がとられました。Trickbot、BazaLoder、さらにランサムウェアのRyuk、Contiはいずれもロシアを拠点としたサイバー犯罪グループ、Wizard Spiderによって開発されたとみられています。Contiは今年4月に閉鎖され、関連インフラもオフラインになったようですが、スピンオフしたとの見方が一般的で、メンバーは分派して活動を続けており、それら分派した一部のメンバーによってBazarCallキャンペーンが展開されているようです。

Trellixレポート、日本も標的になっている

 日本でサポート詐欺として報告されている事案の中にBazarCallキャンペーンが含まれているのかよくわかりませんが、サイバーセキュリティ企業、Trellixの最近のレポートに掲載されているBazarCallキャンペーンの標的を示した世界地図では日本も黄色く塗られていることから被害実態があるようです。Trellixのレポートによると、BazarCallキャンペーンはアメリカとカナダでもっとも活発であるもののインドや中国などのアジア諸国も標的にしているということです。また、NortonやMcAfee、Paypal、Microsoftなどになりすまして展開されているということです。

BazarCallキャンペーンによる感染マップ。日本も黄色く塗られている=Trellix「Evolution of BazarCall Social Engineering Tactics」より

 またトレンドマイクロの2021年4月のブログ記事は、同年3月にBazarCallとIcedIDの活動がグローバル全体で活発化したことを明らかにしています。この時はEmotetのテイクダウンが行われたため、Emotetに代わるキャンペーンとしてBazarCallやIcedIDの動向が注目されていました。このブログ記事の中でトレンドマイクロはBazarCallメールの検出数を国ごとにグラフ化して示していて、それによると突出して多いのがアメリカ、次いでドイツ、インド、シンガポールと続き、その後に日本、オーストラリア、オランダ、イギリス、カナダ、フランスと続いています。日本は5番目にBazarCallメールが多い国としてグラフに示されています。

 日本国内でBazarLoaderの検出がどの程度あるのかデータが見当たらずよくわからなかったのですが、サポート詐欺とともにBazarCallの被害もあるようであり、あるいはBazarCallによる被害もサポート詐欺として関係先等に報告されているのかもしれません。

■出典

https://www.microsoft.com/security/blog/2021/07/29/bazacall-phony-call-centers-lead-to-exfiltration-and-ransomware/

https://www.trellix.com/en-us/about/newsroom/stories/research/evolution-of-bazarcall-social-engineering-tactics.html

https://www.trendmicro.com/ja_jp/research/21/d/status-update-on-email-threats-after-emotet-spike-in-icedid-and-bazaarcall-activity-in-march.html

最新情報をチェックしよう!