No confíe en los números que se proveen en campaña por email BazarCall
Escrito por Tomas Meskauskas el (actualizado)
Guía de eliminación de la estafa BazarCall
¿Qué es la estafa BazarCall?
BazarCall es el nombre de la campaña de email utilizada con el propósito de engañar a los destinatarios para que instalen malware en sus computadoras. Los ciberdelincuentes detrás de esta campaña envían emails con temas de suscripción alentando a los destinatarios a llamar al número de teléfono proporcionado para cancelar o renovar un plan de suscripción. Después de llamar al número proporcionado, se solicita a los destinatarios que visiten un sitio web malicioso y descarguen un archivo diseñado para instalar malware. La investigación muestra que la campaña BazarCall se utiliza para distribuir el malware BazarLoader que proporciona a los atacantes acceso de puerta trasera a las computadoras infectadas. Es posible que esta campaña también se utilice para entregar otro software malicioso.
Hay varias variantes de campaña BazarCall que se utilizan para engañar a los destinatarios para que infecten sus computadoras con BazarLoader (u otro malware). Las principales diferencias entre ellos son el número al que se pide a los destinatarios que llamen y el nombre de una empresa que los ciberdelincuentes utilizan como disfraz. Se sabe que un email está disfrazado como una email de Paradise Books pidiendo llamar al número + 1-816-307-4271, y otro disfrazado como una email del Servicio de Recordatorio Médico pidiendo llamar al + 1-816-897-0374 número. Aunque, es probable que existan otras variantes con diferentes nombres de empresas y números de teléfono. El propósito principal de estos emails es engañar a los destinatarios haciéndoles creer que alguna suscripción vence pronto/el período de prueba casi ha terminado y llamar al número proporcionado para extender o cancelar esa suscripción. Una vez llamados, los estafadores solicitan visitar un sitio web que aloja un archivo malicioso, luego descargan y abren ese archivo. Las investigaciones muestran que al menos uno de los sitios web aloja un documento malicioso de Microsoft Excel diseñado para instalar BazarLoader. Sin embargo, esas páginas pueden estar diseñadas para descargar otros archivos diseñados para instalar otro malware.
BazarLoader funciona como un troyano de puerta trasera: instala malware adicional. Se sabe que uno de los programas maliciosos que se utiliza para distribuir este troyano es el ransomware RYUK. El ransomware es un tipo de malware que encripta los archivos y los mantiene inaccesibles a menos que las víctimas los desencripten con una herramienta de desencriptado comprada a los atacantes. Aunque, BazarLoader puede usarse para distribuir otros ransomware, mineros de criptomonedas, troyanos de acceso remoto, etc. Por lo general, los ciberdelincuentes usan malware como BazarLoader para distribuir software malicioso diseñado para encriptar archivos, robar información personal, extraer criptomonedas o proporcionar a los atacantes un acceso remoto. a la computadora infectada.
| Nombre | BazarCall (BazaCall) Scam |
| Tipo de Amenaza | Phishing, Scam, Social Engineering |
| Falsa Afirmación | El plan de suscripción vence pronto/el período de prueba casi termina |
| Dominios Relacionados | getmers[.]us, worldbooks[.]us, justpayless[.]net |
| Nombres de Detección (getmers[.]us) | BitDefender (Malware), CRDF (Malicious), ESET (Malware), Fortinet (Malware), Lista Completa de Detecciones (VirusTotal) |
| Dirección IP de Servicio (getmers[.]us) | 162.255.119.132 |
| Nombres de Detección (worldbooks[.]us) | CyRadar (Malicious), ESTsecurity-Threat Inside (Malicious), Fortinet (Malware), Lista Completa de Detecciones (VirusTotal) |
| Dirección IP de Servicio (worldbooks[.]us) | 103.224.212.222 |
| Nombres de Detección (justpayless[.]net) | Certego (Malicious), CRDF (Malicious), CyRadar (Malicious), ESET (Malware), Fortinet (Malware), Lista Completa de Detecciones (VirusTotal) |
| Dirección IP de Servicio (justpayless[.]net) | 8.211.2.246 |
| Nombres de Detección (subscription_1618608166.xlsb) | Avast (Other:Malware-gen [Trj]), BitDefender (Trojan.Agent.FFXL), ESET-NOD32 (una variante de Generik.HNQJYDZ), Kaspersky (HEUR:Trojan.MSOffice.Stratos.gen), Microsoft (TrojanDownloader:O97M/EncDoc.AVP!MTB), Lista Completa de Detecciones (VirusTotal) |
| Disfraz | Mail de Paradise Books, Servicio de recordatorio médico |
| Números de estafador | +1-816-897-0374, +1-816-307-4271 |
| Síntomas | Compras en línea no autorizadas, cambio de contraseñas de cuentas en línea, robo de identidad, acceso ilegal a la computadora. |
| Métodos de Distribución | Emails engañosos, anuncios emergentes en línea fraudulentos, técnicas de envenenamiento de motores de búsqueda, dominios mal escritos. |
| Daño | Pérdida de información privada sensible, pérdida monetaria, robo de identidad. |
| Eliminación de Malware | Para eliminar posibles infecciones de malware, escanee su computadora con un software antivirus legítimo. Nuestros investigadores de seguridad recomiendan usar Combo Cleaner. |
Otro ejemplo de una estafa por email que se utiliza para engañar a los usuarios para que llamen al número proporcionado y luego descarguen un archivo malicioso diseñado para infectar computadoras con malware es "Your Free Trial Period Is Almost Over Email Scam" (este artículo contiene varios ejemplos de emails utilizados para engañar a los destinatarios para que instalen el malware BazarLoader). Como regla general, los ciberdelincuentes detrás de los emails que se utilizan para enviar malware pretenden ser empresas u organizaciones legítimas. En la mayoría de los casos, los destinatarios que caen en estas estafas (abren archivos adjuntos o descargados a través de sitios web proporcionados) se convierten en víctimas de robo de identidad, sufren pérdidas monetarias, pierden acceso a cuentas personales, archivos almacenados en sus computadoras y/o encuentran otros problemas. Por lo tanto, los emails de este tipo deben ignorarse y notificarse.
¿Cómo infectan las computadoras las campañas de spam?
Se sabe que uno de los archivos utilizados para distribuir BazarLoader a través de la campaña BazarCall es un documento malicioso de Microsoft Excel. Ese documento instala software malicioso solo si los usuarios habilitan los comandos de macros (edición/contenido). Sin embargo, los documentos maliciosos se abrieron con versiones de Microsoft Office publicadas antes de que Microsoft Office 2010 instalara malware sin solicitar la habilitación de comandos de macros. Esto se debe a que esas versiones no tienen el modo "Vista protegida", que evita que los documentos maliciosos instalen malware inmediatamente después de que se abren. Más ejemplos de archivos que los ciberdelincuentes pueden usar para entregar malware son archivos ejecutables (por ejemplo, EXE), archivos JavaScript, documentos PDF, otros documentos de Microsoft Word, ZIP, RAR y otros archivos de almacenamiento. Como se menciona en el primer párrafo, BazarLoader no es el único malware que los ciberdelincuentes pueden distribuir a través de la campaña BazarCall.
¿Cómo evitar la instalación de malware?
Evite abrir archivos descargados de sitios web cuestionables, a través de redes Peer-to-Peer, descargadores de terceros, etc. Es seguro abrir archivos o utilizar programas que se descargaron de páginas legítimas y mediante enlaces directos. Otra cosa importante es no abrir archivos o enlaces a sitios web en emails irrelevantes que se reciben de remitentes sospechosos o desconocidos. Muy a menudo, los emails de este tipo contienen archivos maliciosos, enlaces diseñados para enviar malware. El sistema operativo y el software instalados deben mantenerse actualizados. Debe lograrse utilizando funciones implementadas, herramientas proporcionadas por los desarrolladores oficiales. Se recomienda encarecidamente no confiar en otras herramientas (actualizaciones no oficiales, de terceros o herramientas de "craqueo"). Es común que esas herramientas se incluyan con malware. Otro detalle sobre las herramientas de "craqueo" es que es ilegal usarlas para evitar la activación del software. Además, es recomendable escanear el sistema operativo en busca de virus con regularidad y hacerlo utilizando un software antivirus o antispyware de buena reputación. Si ya ha abierto archivos adjuntos maliciosos, le recomendamos que ejecute un análisis Combo Cleaner para eliminar automáticamente el malware infiltrado.
Texto presentado en el email principal de BazarCall:
Subject: 0407848703113. The trial phase on your account is coming to an end
Greetings, 0407848703113
This message is just a reminder regarding your current premium.Your premium trial is coming to an end.
But, the banking card you've mentioned in your existing profile will likely be used to extend your subscription.
We have pretty much all of the publications on just about any topic within our massive web collection.
Check out our webpage, to check on our family plans, where your friends and family can have a great time collectively applying a serious discount.
Thank yoou so much for your personal faith in our service!
Want to know more regarding your premium, and still have some other questions? Here is how you can contact our Support service +1 816 307 4271
Thanks,
Paradise Books StaffDo not react to this message directly
8237 E Century Blvd #399, Los Angeles, CA 90010
Copyright © 2021 Paradise Book, Inc. All legal rights reserved.
This email was recently scanned by AVG anti malware systems.
Sitio web utilizado para distribuir malware a través de esta variante de email:
Documento de Excel malicioso diseñado para instalar BazarLoader:
Captura de pantalla de la segunda variante de email BazarCall:
Texto en esta variante:
Subject: Do you want to extend your free period CHT92136906?
Dear Subscriber, #CHTCHT92136906
Your free period is almost over... How was it? But you choose to stay with us!
Your membership will be continued using a payment method you already mentioned.
In order to stay with us you will be charged $69.99 per month.We are really excited that you are with us, let's move to premium!
If you would like to learn more about your order, get in touch with the Customer Service Center at 1 (816) 897 0374 or visit our website.
We are donating $1 out every premium membership bought to the Vietnam Veterans of America!
Thank you for choosing iMed Service
Sitio web utilizado para distribuir malware a través de esta variante:
Aquí hay un video de un investigador de malware que intenta contactar a los ciberdelincuentes detrás de esta estafa por email. Los delincuentes eventualmente intentan engañar a la persona que llama para que descargue y abra un documento malicioso de MS Excel diseñado para inyectar el malware BazarLoader en el sistema:
Eliminación automática instantánea de malware:
La eliminación manual de amenazas puede ser un proceso largo y complicado que requiere conocimientos informáticos avanzados. Combo Cleaner es una herramienta profesional para eliminar malware de forma automática, que está recomendado para eliminar malware. Descárguelo haciendo clic en el siguiente botón:
▼ DESCARGAR Combo Cleaner
El detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. 7 días de prueba gratuita limitada disponible. Combo Cleaner es propiedad y está operado por Rcs Lt, la empresa matriz de PCRisk. Leer más. Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso.
Menú rápido:
- ¿Qué es BazarCall?
- PASO 1. Eliminación manual de posibles infecciones de malware.
- PASO 2. Revise si su computadora está limpia.
¿Cómo eliminar el malware manualmente?
La eliminación manual de malware es una tarea complicada. Por lo general, es mejor permitir que los programas antivirus o antimalware lo hagan automáticamente. Para eliminar este malware, recomendamos utilizar Combo Cleaner. Si desea eliminar el malware manualmente, el primer paso es identificar el nombre del malware que está intentando eliminar. Aquí hay un ejemplo de un programa sospechoso que se ejecuta en la computadora de un usuario:
Si revisó la lista de programas que se ejecutan en su computadora, por ejemplo, usando el administrador de tareas, e identificó un programa que parece sospechoso, debe continuar con estos pasos:
Descargue un programa llamado Autoruns. Este programa muestra aplicaciones de inicio automático, registro y ubicaciones del sistema de archivos:
Reinicie su computadora en Modo Seguro:
Usuarios de Windows XP y Windows 7: Inicie su computador en modo seguro. Haga clic en Inicio, clic en Apagar, clic en Reiniciar, clic en Aceptar. Durante el proceso de inicio de su computador, presione la tecla F8 en su teclado varias veces hasta que vea el menú Opciones Avanzadas de Windows, y luego seleccione Modo Seguro con Funciones de Red de la lista.
Video que muestra cómo iniciar Windows 7 en "Modo Seguro con Funciones de Red":
Usuarios de Windows 8: Iniciar Windows 8 en Modo Seguro con Funciones de Red: vaya a la pantalla de inicio de Windows 8, escriba Avanzado, en los resultados de búsqueda, seleccione Configuración. Haga clic en Opciones de inicio avanzadas, en la ventana abierta "Configuración General de PC", seleccione Inicio Avanzado. Clic en el botón "Reiniciar Ahora". Su computadora ahora se reiniciará en el "Menú de opciones de inicio avanzado". Haga clic en el botón "Solucionar problemas" y luego clic en el botón "Opciones avanzadas". En la pantalla de opciones avanzadas, haga clic en "Configuración de inicio". Haga clic en el botón "Reiniciar". Su PC se reiniciará en la pantalla de Configuración de inicio. Presione F5 para iniciar en Modo Seguro con Funciones de Red.
Video que muestra cómo iniciar Windows 8 en "Modo Seguro con Funciones de Red":
Usuarios de Windows 10: Haga clic en el logotipo de Windows y seleccione el icono de Encendido. En el menú abierto, haga clic en "Reiniciar" mientras mantiene presionado el botón "Shift" en su teclado. En la ventana "Elija una opción", haga clic en "Solucionar Problemas", luego seleccione "Opciones Avanzadas". En el menú de opciones avanzadas, seleccione "Configuración de Inicio" y haga clic en el botón "Reiniciar". En la siguiente ventana, debe hacer clic en la tecla "F5" en su teclado. Esto reiniciará su sistema operativo en modo seguro con funciones de red.
Video que muestra cómo iniciar Windows 10 en "Modo Seguro con Funciones de Red":
Extraiga el archivo descargado y ejecute el archivo Autoruns.exe.
En la aplicación Autoruns, haga clic en "Opciones" en la parte superior y desactive las opciones "Ocultar ubicaciones vacías" y "Ocultar entradas de Windows". Después de este procedimiento, haga clic en el icono "Actualizar".
Consulte la lista provista por la aplicación Autoruns y localice el archivo de malware que desea eliminar.
Debe anotar la ruta y nombre completos. Tenga en cuenta que algunos programas maliciosos ocultan nombres de procesos bajo nombres legítimos de procesos de Windows. En esta etapa, es muy importante evitar eliminar los archivos del sistema. Después de localizar el programa sospechoso que desea eliminar, haga clic con el botón derecho del mouse sobre su nombre y elija "Eliminar".
Después de eliminar el malware a través de la aplicación Autoruns (esto asegura que el malware no se ejecutará automáticamente en el próximo inicio del sistema), debe buscar el nombre del malware en su computadora. Asegúrese de habilitar los archivos y carpetas ocultos antes de continuar. Si encuentra el nombre de archivo del malware, asegúrese de eliminarlo.
Reinicie su computadora en modo normal. Seguir estos pasos debería eliminar cualquier malware de su computadora. Tenga en cuenta que la eliminación manual de amenazas requiere habilidades informáticas avanzadas. Si no tiene estas habilidades, deje la eliminación de malware a los programas antivirus y antimalware. Es posible que estos pasos no funcionen con infecciones avanzadas de malware. Como siempre, es mejor prevenir la infección que intentar eliminar el malware más tarde. Para mantener su computadora segura, instale las últimas actualizaciones del sistema operativo y use un software antivirus.
Para asegurarse de que su computadora esté libre de infecciones de malware, recomendamos escanearla con Combo Cleaner.
¡Excelente!
▼ Mostrar discusión.