Non chiamare i numeri forniti nella campagna email BazarCall
Scitto da Tomas Meskauskas il
Come rimuovere la truffa BazarCall
Cos'è la truffa BazarCall?
BazarCall è il nome della campagna email utilizzata allo scopo di indurre i destinatari a installare malware sui loro computer. I criminali informatici dietro questa campagna inviano email a tema abbonamento incoraggiando i destinatari a chiamare il numero di telefono fornito per annullare o rinnovare un piano di abbonamento. Dopo aver chiamato il numero fornito, ai destinatari viene chiesto di visitare un sito Web dannoso e scaricare un file progettato per installare malware. La ricerca mostra che la campagna BazarCall viene utilizzata per distribuire il malware BazarLoader che fornisce agli aggressori l'accesso backdoor ai computer infetti. È possibile che questa campagna venga utilizzata anche per fornire altri software dannosi.
Esistono più varianti della campagna BazarCall utilizzate per indurre i destinatari a infettare i loro computer con BazarLoader (o altro malware). Le principali differenze tra loro sono il numero che i destinatari devono chiamare e il nome di un'azienda che i criminali informatici usano come travestimento. È noto che un'e-mail è mascherata da una lettera di Paradise Books che chiede di chiamare il numero +1-816-307-4271 e un'altra mascherata da una lettera del servizio di promemoria medico che chiede di chiamare il numero +1-816-897-0374 numero. Tuttavia, è probabile che ci siano altre varianti con nomi di società e numeri di telefono diversi. Lo scopo principale di queste e-mail è indurre i destinatari a credere che un abbonamento stia per scadere/il periodo di prova è quasi terminato e chiamare il numero fornito per estendere o annullare l'abbonamento. Una volta chiamati, i truffatori chiedono di visitare un sito Web che ospita un file dannoso, quindi scaricano e aprono quel file. La ricerca mostra che almeno uno dei siti Web ospita un documento Microsoft Excel dannoso progettato per installare BazarLoader. Tuttavia, quelle pagine potrebbero essere progettate per scaricare altri file progettati per installare altri malware.
BazarLoader funziona come un trojan backdoor: installa malware aggiuntivo. È noto che uno dei programmi dannosi che questo trojan viene utilizzato per distribuire è RYUK ransomware. Il ransomware è un tipo di malware che crittografa i file e li mantiene inaccessibili a meno che le vittime non li decrittono con uno strumento di decrittazione acquistato dagli aggressori. Sebbene, BazarLoader possa essere utilizzato per distribuire altri ransomware, minatori di criptovalute, trojan di accesso remoto, ecc. In genere, i criminali informatici utilizzano malware come BazarLoader per distribuire software dannoso progettato per crittografare file, rubare informazioni personali, estrarre criptovaluta o fornire agli aggressori un accesso remoto al computer infetto.
| Nome | BazarCall (BazaCall) Scam |
| Tipo di minaccia | Phishing, truffa, ingegneria sociale |
| Falsi proclami | Il piano di abbonamento sta per scadere/il periodo di prova è quasi terminato |
| Domini correlati | getmers[.]us, worldbooks[.]us, justpayless[.]net |
| Nomi rilevati (getmers[.]us) | BitDefender (Malware), CRDF (Malicious), ESET (Malware), Fortinet (Malware), Lista completa (VirusTotal) |
| IP (getmers[.]us) | 162.255.119.132 |
| Nomi rilevati (worldbooks[.]us) | CyRadar (Malicious), ESTsecurity-Threat Inside (Malicious), Fortinet (Malware), Lista completa (VirusTotal) |
| IP (worldbooks[.]us) | 103.224.212.222 |
| Nomi rilevati (justpayless[.]net) | Certego (Malicious), CRDF (Malicious), CyRadar (Malicious), ESET (Malware), Fortinet (Malware), Lista completa (VirusTotal) |
| IP (justpayless[.]net) | 8.211.2.246 |
| Nomi rilevati (subscription_1618608166.xlsb) | Avast (Other:Malware-gen [Trj]), BitDefender (Trojan.Agent.FFXL), ESET-NOD32 (Una variante di Generik.HNQJYDZ), Kaspersky (HEUR:Trojan.MSOffice.Stratos.gen), Microsoft (TrojanDownloader:O97M/EncDoc.AVP!MTB), Lista completa (VirusTotal) |
| Travestimento | Lettera da Paradise Books, servizio di promemoria prestazione medica |
| Numeri mostrati | +1-816-897-0374, +1-816-307-4271 |
| Sintomi | Acquisti online non autorizzati, password account online modificate, furto di identità, accesso illegale al computer. |
| Metodi distributivi | Email ingannevoli, annunci pop-up online non autorizzati, tecniche di avvelenamento da motori di ricerca, domini con errori di ortografia. |
| Danni | Perdita di informazioni private sensibili, perdita di denaro, furto di identità. |
| Rimozione dei malware (Windows) | Per eliminare possibili infezioni malware, scansiona il tuo computer con un software antivirus legittimo. I nostri ricercatori di sicurezza consigliano di utilizzare Combo Cleaner. |
Un altro esempio di una truffa via email utilizzata per indurre gli utenti a chiamare il numero fornito e quindi a scaricare un file dannoso progettato per infettare i computer con malware è "Your Free Trial Period Is Almost Over Email Scam" (questo articolo contiene una serie di esempi di email utilizzate per indurre i destinatari a installare il malware BazarLoader). Di norma, i criminali informatici dietro le email utilizzate per fornire malware fingono di essere aziende e organizzazioni legittime. Nella maggior parte dei casi, i destinatari che cadono in queste truffe (file aperti allegati o scaricati tramite i siti Web forniti) diventano vittime di furto di identità, subiscono perdite monetarie, perdono l'accesso ad account personali, file archiviati sui loro computer e (o) incontrano altri i problemi. Pertanto, le email di questo tipo devono essere ignorate e segnalate.
In che modo le campagne di spam infettano i computer?
È noto che uno dei file utilizzati per distribuire BazarLoader tramite la campagna BazarCall è un documento Microsoft Excel dannoso. Quel documento installa software dannoso solo se gli utenti abilitano i comandi macro (modifica/contenuto). Tuttavia, i documenti dannosi aperti con le versioni di Microsoft Office rilasciate prima di Microsoft Office 2010 installano malware senza chiedere di abilitare i comandi delle macro. È perché quelle versioni non hanno la modalità "Visualizzazione protetta", che impedisce ai documenti dannosi di installare malware subito dopo essere stati aperti. Altri esempi di file che i criminali informatici possono utilizzare per distribuire malware sono file eseguibili (ad es. EXE), file JavaScript, documenti PDF, altri documenti Microsoft Word, ZIP, RAR e altri file di archivio. Come accennato nel primo paragrafo, BazarLoader non è l'unico malware che i criminali informatici possono distribuire tramite la campagna BazarCall.
Come evitare l'installazione di malware?
Evita di aprire file scaricati da siti Web discutibili, tramite reti peer-to-peer, downloader di terze parti e così via. È sicuro aprire file o utilizzare programmi che sono stati scaricati da pagine legittime e tramite collegamenti diretti. Un'altra cosa importante è non aprire file o collegamenti a siti Web in e-mail irrilevanti ricevute da mittenti sospetti o sconosciuti. Molto spesso, le e-mail di questo tipo contengono file dannosi, collegamenti progettati per fornire malware. Il sistema operativo e il software installati devono essere mantenuti aggiornati. Deve essere realizzato utilizzando funzioni implementate, strumenti forniti dagli sviluppatori ufficiali. Si consiglia vivamente di non fidarsi di altri strumenti (aggiornamenti non ufficiali, di terze parti o strumenti di "cracking"). È comune che questi strumenti siano in bundle con malware. Un altro dettaglio sugli strumenti di "cracking" è che è illegale usarli per aggirare l'attivazione del software. Inoltre, è consigliabile eseguire regolarmente la scansione del sistema operativo alla ricerca di virus e farlo utilizzando un software antivirus o antispyware affidabile. Se hai già aperto allegati dannosi, ti consigliamo di eseguire una scansione con Combo Cleaner per eliminare automaticamente il malware infiltrato.
Testo presentato nell'email principale di BazarCall:
Subject: 0407848703113. The trial phase on your account is coming to an end
Greetings, 0407848703113
This message is just a reminder regarding your current premium.Your premium trial is coming to an end.
But, the banking card you've mentioned in your existing profile will likely be used to extend your subscription.
We have pretty much all of the publications on just about any topic within our massive web collection.
Check out our webpage, to check on our family plans, where your friends and family can have a great time collectively applying a serious discount.
Thank yoou so much for your personal faith in our service!
Want to know more regarding your premium, and still have some other questions? Here is how you can contact our Support service +1 816 307 4271
Thanks,
Paradise Books StaffDo not react to this message directly
8237 E Century Blvd #399, Los Angeles, CA 90010
Copyright © 2021 Paradise Book, Inc. All legal rights reserved.
This email was recently scanned by AVG anti malware systems.
Sito Web utilizzato per distribuire malware tramite questa variante di posta elettronica:
Documento Excel dannoso progettato per installare BazarLoader:
Screenshot della seconda variante dell'email BazarCall:
Testo in questa variante:
Subject: Do you want to extend your free period CHT92136906?
Dear Subscriber, #CHTCHT92136906
Your free period is almost over... How was it? But you choose to stay with us!
Your membership will be continued using a payment method you already mentioned.
In order to stay with us you will be charged $69.99 per month.We are really excited that you are with us, let's move to premium!
If you would like to learn more about your order, get in touch with the Customer Service Center at 1 (816) 897 0374 or visit our website.
We are donating $1 out every premium membership bought to the Vietnam Veterans of America!
Thank you for choosing iMed Service
Sito web utilizzato per distribuire malware tramite questa variante:
Ecco un video di un ricercatore di malware che cerca di contattare i criminali informatici dietro questa truffa via email. I truffatori alla fine tentano di indurre il chiamante a scaricare e aprire un documento MS Excel dannoso progettato per iniettare il malware BazarLoader nel sistema:
Rimozione automatica istantanea dei malware:
La rimozione manuale delle minacce potrebbe essere un processo lungo e complicato che richiede competenze informatiche avanzate. Combo Cleaner è uno strumento professionale per la rimozione automatica del malware consigliato per eliminare il malware. Scaricalo cliccando il pulsante qui sotto:
▼ SCARICA Combo Cleaner
Lo scanner gratuito controlla se il computer è infetto. Per utilizzare tutte le funzionalità, è necessario acquistare una licenza per Combo Cleaner. Hai a disposizione 7 giorni di prova gratuita. Combo Cleaner è di proprietà ed è gestito da Rcs Lt, società madre di PCRisk. Per saperne di più. Scaricando qualsiasi software elencato in questo sito, accetti le nostre Condizioni di Privacy e le Condizioni di utilizzo.
Menu:
- Cos'è BazarCall scam?
- STEP 1. Rimozione manuale di possibili infezioni da malware.
- STEP 2. Controlla se il tuo computer è pulito.
Come rimuovere un malware manualmente?
La rimozione manuale del malware è un compito complicato, in genere è meglio lasciare che i programmi antivirus o antimalware lo facciano automaticamente. Per rimuovere questo malware, ti consigliamo di utilizzare Combo Cleaner. Se si desidera rimuovere manualmente il malware, il primo passo è identificare il nome del malware che si sta tentando di rimuovere. Ecco un esempio di un programma sospetto in esecuzione sul computer dell'utente:
Se hai controllato l'elenco dei programmi in esecuzione sul tuo computer, ad esempio utilizzando task manager e identificato un programma che sembra sospetto, devi continuare con questi passaggi:
Download un programma chiamato Autoruns. Questo programma mostra le applicazioni che si avviano in automatico, i percorsi del Registro di sistema e del file system:
Riavvia il tuo computer in modalità provvisoria:
Windows XP e Windows 7: Avvia il tuo computer in modalità provvisoria. Fare clic su Start, fare clic su Arresta, fare clic su Riavvia, fare clic su OK. Durante la procedura di avvio del computer, premere più volte il tasto F8 sulla tastiera finché non viene visualizzato il menu Opzione avanzata di Windows, quindi selezionare Modalità provvisoria con rete dall'elenco.
Video che mostra come avviare Windows 7 in "modalità provvisoria con rete":
Windows 8: Vai alla schermata di avvio di Windows 8, digita Avanzato, nei risultati della ricerca selezionare Impostazioni. Fare clic su Opzioni di avvio avanzate, nella finestra "Impostazioni generali del PC", selezionare Avvio. Fare clic sul pulsante "Riavvia ora". Il vostro computer ora riavvierà. in "Opzioni del menu di avvio avanzate." Fai clic sul pulsante "Risoluzione dei problemi", quindi fare clic sul pulsante "Opzioni avanzate". Nella schermata delle opzioni avanzate, fare clic su "Impostazioni di avvio". Fai clic sul pulsante "Restart". Il PC si riavvia nella schermata Impostazioni di avvio. Premere "F5" per l'avvio in modalità provvisoria con rete.
Video che mostra come avviare Windows 8 in "modalità provvisoria con rete":
Windows 10: Fare clic sul logo di Windows e selezionare l'icona di alimentazione. Nel menu aperto cliccare "Riavvia il sistema" tenendo premuto il tasto "Shift" sulla tastiera. Nella finestra "scegliere un'opzione", fare clic sul "Risoluzione dei problemi", successivamente selezionare "Opzioni avanzate". Nel menu delle opzioni avanzate selezionare "Impostazioni di avvio" e fare clic sul pulsante "Riavvia". Nella finestra successiva è necessario fare clic sul pulsante "F5" sulla tastiera. Ciò riavvia il sistema operativo in modalità provvisoria con rete.
Video che mostra come avviare Windows 10 in "Modalità provvisoria con rete":
Estrarre l'archivio scaricato ed eseguire il file Autoruns.exe.
Nell'applicazione Autoruns fai clic su "Opzioni" nella parte superiore e deseleziona le opzioni "Nascondi posizioni vuote" e "Nascondi voci di Windows". Dopo questa procedura, fare clic sull'icona "Aggiorna".
Controllare l'elenco fornito dall'applicazione Autoruns e individuare il file malware che si desidera eliminare.
Dovresti scrivere per intero percorso e nome. Nota che alcuni malware nascondono i loro nomi di processo sotto nomi di processo legittimi di Windows. In questa fase è molto importante evitare di rimuovere i file di sistema. Dopo aver individuato il programma sospetto che si desidera rimuovere, fare clic con il tasto destro del mouse sul suo nome e scegliere "Elimina"
Dopo aver rimosso il malware tramite l'applicazione Autoruns (questo garantisce che il malware non verrà eseguito automaticamente all'avvio successivo del sistema), dovresti cercare ogni file appartenente al malware sul tuo computer. Assicurati di abilitare i file e le cartelle nascoste prima di procedere. Se trovi dei file del malware assicurati di rimuoverli.
Riavvia il computer in modalità normale. Seguendo questi passaggi dovresti essere in grado di rimuovere eventuali malware dal tuo computer. Nota che la rimozione manuale delle minacce richiede competenze informatiche avanzate, si consiglia di lasciare la rimozione del malware a programmi antivirus e antimalware. Questi passaggi potrebbero non funzionare con infezioni malware avanzate. Come sempre è meglio evitare di essere infettati che cercare di rimuovere il malware in seguito. Per proteggere il computer, assicurati di installare gli aggiornamenti del sistema operativo più recenti e utilizzare un software antivirus.
Per essere sicuri che il tuo computer sia privo di infezioni da malware, ti consigliamo di scannerizzarlo con Combo Cleaner.
Eccezionale!
▼ Mostra Discussione