FacebookTwitterLinkedIn

No confíe en los números que se proveen en campaña por email BazarCall

Conocido también como: Estafa BazaCall
Tipo: Estafa
Propagación: Baja
Nivel de peligrosidad: Extremo

Guía de eliminación de la estafa BazarCall

¿Qué es la estafa BazarCall?

BazarCall es el nombre de la campaña de email utilizada con el propósito de engañar a los destinatarios para que instalen malware en sus computadoras. Los ciberdelincuentes detrás de esta campaña envían emails con temas de suscripción alentando a los destinatarios a llamar al número de teléfono proporcionado para cancelar o renovar un plan de suscripción. Después de llamar al número proporcionado, se solicita a los destinatarios que visiten un sitio web malicioso y descarguen un archivo diseñado para instalar malware. La investigación muestra que la campaña BazarCall se utiliza para distribuir el malware BazarLoader que proporciona a los atacantes acceso de puerta trasera a las computadoras infectadas. Es posible que esta campaña también se utilice para entregar otro software malicioso.

Campaña de correo no deseado BazarCall

Hay varias variantes de campaña BazarCall que se utilizan para engañar a los destinatarios para que infecten sus computadoras con BazarLoader (u otro malware). Las principales diferencias entre ellos son el número al que se pide a los destinatarios que llamen y el nombre de una empresa que los ciberdelincuentes utilizan como disfraz. Se sabe que un email está disfrazado como una email de Paradise Books pidiendo llamar al número + 1-816-307-4271, y otro disfrazado como una email del Servicio de Recordatorio Médico pidiendo llamar al + 1-816-897-0374 número. Aunque, es probable que existan otras variantes con diferentes nombres de empresas y números de teléfono. El propósito principal de estos emails es engañar a los destinatarios haciéndoles creer que alguna suscripción vence pronto/el período de prueba casi ha terminado y llamar al número proporcionado para extender o cancelar esa suscripción. Una vez llamados, los estafadores solicitan visitar un sitio web que aloja un archivo malicioso, luego descargan y abren ese archivo. Las investigaciones muestran que al menos uno de los sitios web aloja un documento malicioso de Microsoft Excel diseñado para instalar BazarLoader. Sin embargo, esas páginas pueden estar diseñadas para descargar otros archivos diseñados para instalar otro malware.

BazarLoader funciona como un troyano de puerta trasera: instala malware adicional. Se sabe que uno de los programas maliciosos que se utiliza para distribuir este troyano es el ransomware RYUK. El ransomware es un tipo de malware que encripta los archivos y los mantiene inaccesibles a menos que las víctimas los desencripten con una herramienta de desencriptado comprada a los atacantes. Aunque, BazarLoader puede usarse para distribuir otros ransomware, mineros de criptomonedas, troyanos de acceso remoto, etc. Por lo general, los ciberdelincuentes usan malware como BazarLoader para distribuir software malicioso diseñado para encriptar archivos, robar información personal, extraer criptomonedas o proporcionar a los atacantes un acceso remoto. a la computadora infectada.

Resumen de la Amenaza:
Nombre BazarCall (BazaCall) Scam
Tipo de Amenaza Phishing, Scam, Social Engineering
Falsa Afirmación El plan de suscripción vence pronto/el período de prueba casi termina
Dominios Relacionados getmers[.]us, worldbooks[.]us, justpayless[.]net
Nombres de Detección (getmers[.]us) BitDefender (Malware), CRDF (Malicious), ESET (Malware), Fortinet (Malware), Lista Completa de Detecciones (VirusTotal)
Dirección IP de Servicio (getmers[.]us) 162.255.119.132
Nombres de Detección (worldbooks[.]us) CyRadar (Malicious), ESTsecurity-Threat Inside (Malicious), Fortinet (Malware), Lista Completa de Detecciones (VirusTotal)
Dirección IP de Servicio (worldbooks[.]us) 103.224.212.222
Nombres de Detección (justpayless[.]net) Certego (Malicious), CRDF (Malicious), CyRadar (Malicious), ESET (Malware), Fortinet (Malware), Lista Completa de Detecciones (VirusTotal)
Dirección IP de Servicio (justpayless[.]net) 8.211.2.246
Nombres de Detección (subscription_1618608166.xlsb) Avast (Other:Malware-gen [Trj]), BitDefender (Trojan.Agent.FFXL), ESET-NOD32 (A Variant Of Generik.HNQJYDZ), Kaspersky (HEUR:Trojan.MSOffice.Stratos.gen), Microsoft (TrojanDownloader:O97M/EncDoc.AVP!MTB), Lista Completa de Detecciones (VirusTotal)
Disfraz Mail de Paradise Books, Servicio de recordatorio médico
Números de estafador +1-816-897-0374, +1-816-307-4271
Síntomas Compras en línea no autorizadas, cambio de contraseñas de cuentas en línea, robo de identidad, acceso ilegal a la computadora.
Métodos de Distribución Emails engañosos, anuncios emergentes en línea fraudulentos, técnicas de envenenamiento de motores de búsqueda, dominios mal escritos.
Daño Pérdida de información privada sensible, pérdida monetaria, robo de identidad.
Eliminación

Para eliminar Estafa BazaCall, nuestros investigadores de software malicioso recomiendan analizar el equipo con Combo Cleaner.
▼ Descargar Combo Cleaner
Su detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. 7 días de prueba gratuita limitada disponible.

Otro ejemplo de una estafa por email que se utiliza para engañar a los usuarios para que llamen al número proporcionado y luego descarguen un archivo malicioso diseñado para infectar computadoras con malware es "Your Free Trial Period Is Almost Over Email Scam" (este artículo contiene varios ejemplos de emails utilizados para engañar a los destinatarios para que instalen el malware BazarLoader). Como regla general, los ciberdelincuentes detrás de los emails que se utilizan para enviar malware pretenden ser empresas u organizaciones legítimas. En la mayoría de los casos, los destinatarios que caen en estas estafas (abren archivos adjuntos o descargados a través de sitios web proporcionados) se convierten en víctimas de robo de identidad, sufren pérdidas monetarias, pierden acceso a cuentas personales, archivos almacenados en sus computadoras y/o encuentran otros problemas. Por lo tanto, los emails de este tipo deben ignorarse y notificarse.

¿Cómo infectan las computadoras las campañas de spam?

Se sabe que uno de los archivos utilizados para distribuir BazarLoader a través de la campaña BazarCall es un documento malicioso de Microsoft Excel. Ese documento instala software malicioso solo si los usuarios habilitan los comandos de macros (edición/contenido). Sin embargo, los documentos maliciosos se abrieron con versiones de Microsoft Office publicadas antes de que Microsoft Office 2010 instalara malware sin solicitar la habilitación de comandos de macros. Esto se debe a que esas versiones no tienen el modo "Vista protegida", que evita que los documentos maliciosos instalen malware inmediatamente después de que se abren. Más ejemplos de archivos que los ciberdelincuentes pueden usar para entregar malware son archivos ejecutables (por ejemplo, EXE), archivos JavaScript, documentos PDF, otros documentos de Microsoft Word, ZIP, RAR y otros archivos de almacenamiento. Como se menciona en el primer párrafo, BazarLoader no es el único malware que los ciberdelincuentes pueden distribuir a través de la campaña BazarCall.

¿Cómo evitar la instalación de malware?

Evite abrir archivos descargados de sitios web cuestionables, a través de redes Peer-to-Peer, descargadores de terceros, etc. Es seguro abrir archivos o utilizar programas que se descargaron de páginas legítimas y mediante enlaces directos. Otra cosa importante es no abrir archivos o enlaces a sitios web en emails irrelevantes que se reciben de remitentes sospechosos o desconocidos. Muy a menudo, los emails de este tipo contienen archivos maliciosos, enlaces diseñados para enviar malware. El sistema operativo y el software instalados deben mantenerse actualizados. Debe lograrse utilizando funciones implementadas, herramientas proporcionadas por los desarrolladores oficiales. Se recomienda encarecidamente no confiar en otras herramientas (actualizaciones no oficiales, de terceros o herramientas de "craqueo"). Es común que esas herramientas se incluyan con malware. Otro detalle sobre las herramientas de "craqueo" es que es ilegal usarlas para evitar la activación del software. Además, es recomendable escanear el sistema operativo en busca de virus con regularidad y hacerlo utilizando un software antivirus o antispyware de buena reputación. Si ya ha abierto archivos adjuntos maliciosos, le recomendamos que ejecute un análisis Combo Cleaner para eliminar automáticamente el malware infiltrado.

Texto presentado en el email principal de BazarCall:

Subject: 0407848703113. The trial phase on your account is coming to an end

Greetings, 0407848703113


This message is just a reminder regarding your current premium.

Your premium trial is coming to an end.

But, the banking card you've mentioned in your existing profile will likely be used to extend your subscription.

We have pretty much all of the publications on just about any topic within our massive web collection.

Check out our webpage, to check on our family plans, where your friends and family can have a great time collectively applying a serious discount.

Thank yoou so much for your personal faith in our service!

Want to know more regarding your premium, and still have some other questions? Here is how you can contact our Support service +1  816  307  4271

Thanks,
Paradise Books Staff

Do not react to this message directly


8237 E Century Blvd #399, Los Angeles, CA 90010
Copyright © 2021 Paradise Book, Inc. All legal rights reserved.


This email was recently scanned by AVG anti malware systems.

Sitio web utilizado para distribuir malware a través de esta variante de email:

Sitio web principal de la estafa BazarCall diseñado para distribuir malware

Documento de Excel malicioso diseñado para instalar BazarLoader:

Documento malicioso estafador bazarcal diseñado para instalar bazarloader

Captura de pantalla de la segunda variante de email BazarCall:

Estafa BazarCall otra variante de estafa

Texto en esta variante:

Subject: Do you want to extend your free period CHT92136906?

Dear Subscriber, #CHTCHT92136906

Your free period is almost over... How was it? But you choose to stay with us!

Your membership will be continued using a payment method you already mentioned.
In order to stay with us you will be charged $69.99 per month.

We are really excited that you are with us, let's move to premium!

If you would like to learn more about your order, get in touch with the Customer Service Center at 1 (816) 897 0374 or visit our website.

We are donating $1 out every premium membership bought to the Vietnam Veterans of America!

Thank you for choosing iMed Service

Sitio web utilizado para distribuir malware a través de esta variante:

Estafa BazarCall otro sitio web utilizado para distribuir malware

Aquí hay un video de un investigador de malware que intenta contactar a los ciberdelincuentes detrás de esta estafa por email. Los delincuentes eventualmente intentan engañar a la persona que llama para que descargue y abra un documento malicioso de MS Excel diseñado para inyectar el malware BazarLoader en el sistema:

Eliminar automáticamente de forma instantánea Estafa BazaCall: Eliminar las amenazas de forma manual puede acabar siendo un proceso largo y tedioso que precisa de conocimientos informáticos avanzados. Combo Cleaner es una herramienta profesional para eliminar software malicioso de forma automática y está recomendada para acabar con Estafa BazaCall. La descarga se iniciará al hacer clic en el siguiente botón:
▼ DESCARGAR Combo Cleaner Su detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. 7 días de prueba gratuita limitada disponible. Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso.

Menú rápido:

¿Cómo eliminar el malware manualmente?

La eliminación manual de malware es una tarea complicada. Por lo general, es mejor permitir que los programas antivirus o antimalware lo hagan automáticamente. Para eliminar este malware, recomendamos utilizar Combo Cleaner. Si desea eliminar el malware manualmente, el primer paso es identificar el nombre del malware que está intentando eliminar. Aquí hay un ejemplo de un programa sospechoso que se ejecuta en la computadora de un usuario:

Ejemplo de un proceso malicioso ejecutándose en la computadora del usuario

Si revisó la lista de programas que se ejecutan en su computadora, por ejemplo, usando el administrador de tareas, e identificó un programa que parece sospechoso, debe continuar con estos pasos:

manual malware removal step 1Descargue un programa llamado Autoruns. Este programa muestra aplicaciones de inicio automático, registro y ubicaciones del sistema de archivos:

Captura de pantalla de la aplicación Autoruns

manual malware removal step 2Reinicie su computadora en Modo Seguro:

Usuarios de Windows XP y Windows 7: Inicie su computador en modo seguro. Haga clic en Inicio, clic en Apagar, clic en Reiniciar, clic en Aceptar. Durante el proceso de inicio de su computador, presione la tecla F8 en su teclado varias veces hasta que vea el menú Opciones Avanzadas de Windows, y luego seleccione Modo Seguro con Funciones de Red de la lista.

Modo Seguro con Red

Video que muestra cómo iniciar Windows 7 en "Modo Seguro con Funciones de Red":

Usuarios de Windows 8: Iniciar Windows 8 en Modo Seguro con Funciones de Red: vaya a la pantalla de inicio de Windows 8, escriba Avanzado, en los resultados de búsqueda, seleccione Configuración. Haga clic en Opciones de inicio avanzadas, en la ventana abierta "Configuración General de PC", seleccione Inicio Avanzado. Clic en el botón "Reiniciar Ahora". Su computadora ahora se reiniciará en el "Menú de opciones de inicio avanzado". Haga clic en el botón "Solucionar problemas" y luego clic en el botón "Opciones avanzadas". En la pantalla de opciones avanzadas, haga clic en "Configuración de inicio". Haga clic en el botón "Reiniciar". Su PC se reiniciará en la pantalla de Configuración de inicio. Presione F5 para iniciar en Modo Seguro con Funciones de Red.

Modo Seguro con Red en Windows 8

Video que muestra cómo iniciar Windows 8 en "Modo Seguro con Funciones de Red":

Usuarios de Windows 10: Haga clic en el logotipo de Windows y seleccione el icono de Encendido. En el menú abierto, haga clic en "Reiniciar" mientras mantiene presionado el botón "Shift" en su teclado. En la ventana "Elija una opción", haga clic en "Solucionar Problemas", luego seleccione "Opciones Avanzadas". En el menú de opciones avanzadas, seleccione "Configuración de Inicio" y haga clic en el botón "Reiniciar". En la siguiente ventana, debe hacer clic en la tecla "F5" en su teclado. Esto reiniciará su sistema operativo en modo seguro con funciones de red.

Modo Seguro con Red en Windows 10

Video que muestra cómo iniciar Windows 10 en "Modo Seguro con Funciones de Red":

manual malware removal step 3Extraiga el archivo descargado y ejecute el archivo Autoruns.exe.

Extraiga autoruns.zip y ejecute autoruns.exe

manual malware removal step 4En la aplicación Autoruns, haga clic en "Opciones" en la parte superior y desactive las opciones "Ocultar ubicaciones vacías" y "Ocultar entradas de Windows". Después de este procedimiento, haga clic en el icono "Actualizar".

Haga clic en 'Opciones' en la parte superior y desmarca las opciones 'Ocultar ubicaciones vacías' y 'Ocultar entradas de Windows'

manual malware removal step 5Consulte la lista provista por la aplicación Autoruns y localice el archivo de malware que desea eliminar.

Debe anotar la ruta y nombre completos. Tenga en cuenta que algunos programas maliciosos ocultan nombres de procesos bajo nombres legítimos de procesos de Windows. En esta etapa, es muy importante evitar eliminar los archivos del sistema. Después de localizar el programa sospechoso que desea eliminar, haga clic con el botón derecho del mouse sobre su nombre y elija "Eliminar".

Localice el archivo de malware que desea eliminar

Después de eliminar el malware a través de la aplicación Autoruns (esto asegura que el malware no se ejecutará automáticamente en el próximo inicio del sistema), debe buscar el nombre del malware en su computadora. Asegúrese de habilitar los archivos y carpetas ocultos antes de continuar. Si encuentra el nombre de archivo del malware, asegúrese de eliminarlo.

Buscando archivos de malware en su computadora

Reinicie su computadora en modo normal. Seguir estos pasos debería eliminar cualquier malware de su computadora. Tenga en cuenta que la eliminación manual de amenazas requiere habilidades informáticas avanzadas. Si no tiene estas habilidades, deje la eliminación de malware a los programas antivirus y antimalware. Es posible que estos pasos no funcionen con infecciones avanzadas de malware. Como siempre, es mejor prevenir la infección que intentar eliminar el malware más tarde. Para mantener su computadora segura, instale las últimas actualizaciones del sistema operativo y use un software antivirus.

Para asegurarse de que su computadora esté libre de infecciones de malware, recomendamos escanearla con Combo Cleaner.

Haga clic acá para publicar un comentario.

Acerca del autor:

Tomas Meskauskas

Me apasiona todo lo relacionado con seguridad informática y tecnología. Me avala una experiencia de más de 10 años trabajando para varias empresas de reparación de problemas técnicos y seguridad on-line. Como editor y autor de PCrisk, llevo trabajando desde 2010. Sígueme en Twitter y LinkedIn para no perderte nada sobre las últimas amenazas de seguridad en internet. Leer más sobre el autor.

El portal de seguridad PCrisk ha sido creado conjuntamente por varios investigadores de seguridad con el propósito de formar e informar a los usuarios sobre las últimas amenazas detectadas en internet. Podrá leer más información sobre los autores e investigadores que trabajan en PCrisk en nuestra página de Contacto.

Nuestras guías de desinfección de software malicioso son gratuitas. No obstante, si desea colaborar, puede realizar una donación.

Guías de desinfección en otros idiomas
Código QR
Estafa BazaCall Código QR
Un código QR (código de respuesta rápida) es un código que puede ser escaneado usando dispositivos y que almacena direcciones web y otra información. Este código puede ser escaneado usando una cámara en un smartphone o tablet. Escanee este código QR para acceder fácilmente a la guía de desinfección de Estafa BazaCall desde su dispositivo móvil.
Nuestra recomendación:

Despídase ya de Estafa BazaCall:

▼ ELIMINAR AHORA con Combo Cleaner

Plataforma: Windows

Valoración de Combo Cleaner por parte del editor:
¡Excelente!

[Volver al principio]

Su detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. 7 días de prueba gratuita limitada disponible.