# BazarCall Campaign 2021 > [!high] Wizard Spider usa call centers fraudulentos para convencer funcionarios corporativos a instalar malware que culmina em ransomware Conti > O **BazarCall** e uma campanha de engenharia social de alto impacto desenvolvida pelo grupo [[g0102-conti-group|Wizard Spider]] (operadores do [[s0266-trickbot|TrickBot]] e [[s0575-conti-ransomware|Conti]]) em 2021. A técnica central e o "callback phishing": um email informatif avisa sobre uma "cobranca de assinatura" proxima, mas em vez de um link malicioso, instrui a vitima a ligar para um número de suporte. O operador humano do call center fraudulento convence a vitima a baixar e executar o arquivo que instala o [[bazarloader|BazarLoader]] - iniciando uma cadeia que frequentemente culmina em ransomware Conti. ## Visão Geral A **BazarCall Campaign** representa uma sofisticacao tática importante na historia do cibercrime: ao inserir um operador humano na cadeia de infecção, o grupo [[g0102-conti-group|Wizard Spider]] eliminou os principais pontos de detecção automatizada do phishing convencional - links maliciosos, anexos com macro, URLs de download - substituindo-os por uma interação humana persuasiva que aciona a propria vitima a executar o malware. O modelo e engenhosamente simples: a vitima recebe um email de aparencia legitima informando que uma assinatura cara (geralmente Adobe, GeekSquad ou Norton) sera renovada automaticamente. O email inclui APENAS um número de telefone para cancelamento - sem links, sem anexos. A vitima liga, um operador real orienta o "processo de cancelamento", e ao final pede para a vitima baixar e executar um arquivo de "ferramenta de cancelamento" de um site que parece legitimo. O arquivo e o [[bazarloader|BazarLoader]], que instala o [[s0154-cobalt-strike|Cobalt Strike]] e abre caminho para o ransomware [[s0575-conti-ransomware|Conti]]. O grupo [[g0102-conti-group|Wizard Spider]] (IBM X-Force: ITG23) expandiu esta técnica em meados de 2021 formando parcerias com afiliados distribuidores (Hive0105, Hive0106/TA551, Hive0107) que utilizavam variantes como hijacking de threads de email e formularios de contato de websites de empresas para entregar o mesmo [[bazarloader|BazarLoader]] por vetores adicionais, multiplicando significativamente o volume de infeccoes. A campanha foi documentada em profundidade pelo The DFIR Report em agosto de 2021, que tracu um intrusion de apenas 32 horas do email inicial ao deploy do [[s0575-conti-ransomware|Conti]] ransomware em toda a rede corporativa - demonstrando a velocidade operacional do grupo. ## Attack Flow ```mermaid graph TB A["Email BazarCall<br/>Aviso de cobranca de assinatura<br/>Apenas número de telefone"] --> B["Vitima liga para call center<br/>Operador humano orienta<br/>processo de cancelamento"] B --> C["Download de ferramenta<br/>Arquivo Excel ou instalador<br/>hospedado em site falso profissional"] C --> D["Instalacao BazarLoader<br/>Vitima executa voluntariamente<br/>Bypass de detecção automatizada"] D --> E["Cobalt Strike BEACON<br/>Reconhecimento interno AD<br/>Lateral movement via SMB"] E --> F["Exfiltração de dados<br/>Roubo de dados sensiveis<br/>antes do ransomware"] F --> G["Conti Ransomware<br/>Criptografia de toda a rede<br/>Dupla extorsao - pagar ou vazar"] ``` ## Cronologia ```mermaid timeline title BazarCall - Evolução da Campanha 2020-10 : Operation Trickbot Takedown reduz capacidade do Wizard Spider 2021-01 : BazarCall emerge como técnica de callback phishing 2021-04 : Sophos documenta BazarLoader via Slack e BaseCamp 2021-08 : The DFIR Report - BazarCall to Conti em 32 horas 2021-10 : IBM X-Force documenta expansao com afiliados Hive0105/0106/0107 2022-02 : Conti Leaks - vazamento interno do Conti expos estrutura do grupo 2022-05 : Conti dissolve - membros migram para outros grupos 2022-06 : Técnica callback phishing adotada por Silent Ransom Group e outros ``` ## TTPs Utilizadas | Tática | Técnica | ID | Observacao | |--------|---------|-----|------------| | Initial Access | Phishing | [[t1566-phishing\|T1566]] | Email de assinatura falsa sem links - apenas número de telefone | | Execution | User Execution | [[t1204-user-execution\|T1204]] | Vitima executa voluntariamente o arquivo de instalacao | | Execution | PowerShell | [[t1059-001-powershell\|T1059.001]] | BazarLoader usa PowerShell para download de payloads | | Lateral Movement | SMB/Admin Shares | [[t1021-002-smb-windows-admin-shares\|T1021.002]] | Cobalt Strike propaga via SMB com credenciais roubadas | | Exfiltration | Exfiltration to Cloud | [[t1567-002-exfiltration-to-cloud\|T1567.002]] | Dados exfiltrados para Mega/cloud antes do Conti | | Impact | Data Encrypted for Impact | [[t1486-data-encrypted-for-impact\|T1486]] | Conti ransomware - criptografia de toda a rede | ## Por Que o BazarCall Funciona A eficacia do BazarCall reside em tres fatores: 1. **Sem IOCs automatizados**: o email original nao tem link, URL ou anexo - ferramentas de análise de email nao detectam nada malicioso 2. **Engenharia social humana**: um operador real, treinado para ser convincente, guia a vitima - mais eficaz que phishing automatizado 3. **A vitima executa voluntariamente**: sem necessidade de explorar vulnerabilidades; a propria vitima desativa as protecoes e instala o malware Esta técnica foi subsequentemente adotada por outros grupos (Silent Ransom Group, Luna Moth, Quantum) e tornou-se um vetor estabelecido de ransomware. ## Relevância LATAM e Brasil Variantes de callback phishing foram detectadas em portugues brasileiro a partir de 2022, com call centers fraudulentos operando em idioma nativo para enganar vitimas corporativas brasileiras. O modelo e particularmente eficaz contra empresas brasileiras onde o suporte de TI e frequentemente terceirizado e os funcionarios sao treinados a ligar para "suporte" em caso de problemas de software. O setor [[financial|financeiro]] brasileiro e o setor de [[technology|tecnologia]] sao os alvos primarios. ## Mitigação **Tecnico:** - Treinar funcionarios específicamente sobre callback phishing - a ameaça nao tem anexo ou link suspeito - Implementar politica de software: somente instalacoes aprovadas pelo IT via gerenciador corporativo - Monitorar via [[m1031-network-intrusion-prevention|M1031]] - conexoes Cobalt Strike saintes (beacons HTTPS) - EDR com detecção comportamental de BazarLoader e injecao de processo **Estratégico:** - Campanha de conscientizacao específica sobre "assinaturas com cobranca automatica" como lure - Número de suporte de TI interno bem divulgado - funcionarios sabem com quem ligar sem buscar números em emails - Simular ataques BazarCall em programas de treinamento de phishing ## Referências - [1](https://thedfirreport.com/2021/08/01/bazarcall-to-conti-ransomware-via-trickbot-and-cobalt-strike/) The DFIR Report - BazarCall to Conti Ransomware via TrickBot and Cobalt Strike (2021) - [2](https://www.ibm.com/think/x-force/trickbot-gang-doubles-down-enterprise-infection) IBM X-Force - TrickBot Gang Doubles Down on Enterprise Infection (2021) - [3](https://news.sophos.com/en-us/2021/04/15/bazarloader-targets-slack-and-basecamp-to-hook-enterprise-employees/) Sophos - BazarLoader Targets Slack and BaseCamp to Hook Enterprise Employees (2021) - [4](https://abnormal.ai/blog/bazarloader-contact-form) Abnormal AI - BazarLoader Actors Initiaté Contact via Contact Forms (2022) - [5](https://www.crowdstrike.com/blog/wizard-spider-adversary-update/) CrowdStrike - WIZARD SPIDER Profile and Operations (2021)