网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

一会儿后，另一个骗子打电话给受害者，声称帮助他们处理感染，并将他们引导到一个网站，在那里受害者下载伪装成杀毒软件的恶意软件。

以PayPal为主题的网络钓鱼攻击中使用了另一种变体，即询问受害者是否使用PayPal，然后检查他们的电子邮件是否受到攻击，声称他们的帐户已被分布在全球各地的八台设备访问。

在安全软件订阅续订活动中，诈骗者声称预装在受害者笔记本电脑上的安全产品已过期失效，自动续订以延长保护。

最终，诈骗者将受害者引导至取消和退款门户网站，这同样是投放恶意软件的网站。

图4. 最近BazarCall活动中使用的各个网站（来源：Trellix）

所有这些活动的结果是说服受害者下载恶意软件，而恶意软件可能是BazarLoader、远程访问木马、Cobalt Strike或其他某种远程访问软件，具体取决于威胁分子。

        远程控制设备

Trellix表示，最近这些活动中的大多数在推送一个名为“support.Client.exe”的ClickOnce可执行文件，该可执行文件在启动后会安装ScreenConnect远程访问工具。

Trellix解释道，攻击者还可以显示虚假的锁屏，使受害者无法访问系统，攻击者可以在受害者不知道的情况下执行任务。

在安全分析师看到的一些情况下，诈骗者打开了虚假的取消表单，要求受害者填写个人详细信息。最后，为了获得退款，受害者被要求登录到他们的银行账户，一旦上当受骗，就向诈骗者汇款。

Trellix的报告解释，这是通过下面这一波操作来实现的：先锁定受害者的屏幕，并发起转账请求，然后在交易需要OTP（一次性密码）或二级密码时解锁屏幕。受害者还会看到一个虚假的退款成功页面，好让他相信已收到退款。诈骗者还可能向受害者发送一条短信，附有款已收到的虚假信息，这个花招防止受害者怀疑任何欺诈行为。

当然，金钱损失只是受感染用户可能面临的问题之一，因为威胁分子可以随时投放更多更恶劣的恶意软件，长期监视用户，并窃取高度敏感的信息。