FacebookTwitterLinkedIn

Ne pas appeler les numéros fournis par la campagne d'escroquerie par courriel BazarCall

Aussi connu comme: Arnaque BazaCall
Type: L'hameçonnage/arnaque
Niveau de dommage: Sévère

Tomas Meskauskas Écrit par le

Guide de suppression de l'arnaque BazarCall

Qu'est-ce que l'arnaque BazarCall ?

BazarCall est le nom de la campagne de courrier électronique utilisée dans le but d'inciter les destinataires à installer des maliciels sur leurs ordinateurs. Les cybercriminels à l'origine de cette campagne envoient des courriels sur le thème des abonnements encourageant les destinataires à appeler le numéro de téléphone fourni pour annuler ou renouveler un plan d'abonnement. Après avoir appelé le numéro fourni, les destinataires sont invités à visiter un site Web malveillant et à télécharger un fichier conçu pour installer des maliciels. La recherche montre que la campagne BazarCall est utilisée pour distribuer le maliciel BazarLoader qui fournit aux attaquants un accès de porte dérobée aux ordinateurs infectés. Il est possible que cette campagne soit également utilisée pour diffuser d'autres maliciels.

Campagne de spam par e-mail BazarCall

Il existe plusieurs variantes de la campagne BazarCall utilisées pour inciter les destinataires à infecter leurs ordinateurs avec BazarLoader (ou d'autres maliciels). Les principales différences entre elles sont le numéro que les destinataires sont invités à appeler et le nom de l'entreprise que les cybercriminels utilisent comme déguisement. On sait qu'un courriel est déguisé en une lettre de Paradise Books demandant d'appeler le +1-816-307-4271, et un autre déguisé en une lettre du Service de rappel médical demandant d'appeler le +1-816-897-0374. Cependant, il est probable qu'il existe d'autres variantes avec des noms de société et des numéros de téléphone différents. Le but principal de ces courriels est de tromper les destinataires en leur faisant croire que certains abonnements expirent bientôt/la période d'essai est presque terminée et en appelant le numéro fourni pour prolonger ou annuler cet abonnement. Une fois contactés, les escrocs demandent à visiter un site Web hébergeant un fichier malveillant, puis téléchargent et ouvrent ce fichier. La recherche montre qu'au moins un des sites Web héberge un document Microsoft Excel malveillant conçu pour installer BazarLoader. Néanmoins, ces pages peuvent être conçues pour télécharger d'autres fichiers conçus pour installer d'autres maliciels.

BazarLoader fonctionne comme un cheval de Troie de porte dérobée - il installe des maliciels supplémentaires. On sait que l'un des programmes malveillants que ce cheval de Troie utilise pour distribuer est le rançongiciel RYUK. Le rançongiciel est un type de logiciel malveillant qui crypte les fichiers et les maintient inaccessibles à moins que les victimes ne les déchiffrent avec un outil de décryptage acheté aux attaquants. Bien que BazarLoader puisse être utilisé pour distribuer d'autres rançongiciels, mineurs de crypto-monnaie-monnaie, chevaux de Troie d'accès à distance, etc. sur l'ordinateur infecté.

Résumé des menaces :
Nom Arnaque BazarCall (BazaCall)
Type de menace Hameçonnage, arnaque, ingénierie sociale
Fausse déclaration Le plan d'abonnement expire bientôt/la période d'essai est presque terminée
Domaines associés getmers[.]us, worldbooks[.]us, justpayless[.]net
Noms de détection (getmers[.]us) BitDefender (maliciel), CRDF (Malicieux), ESET (maliciel), Fortinet (maliciel), Liste complète des détections (VirusTotal)
Adresse IP de service (getmers[.]us) 162.255.119.132
Noms de détection (worldbooks[.]us) CyRadar (Malicieux), ESTsecurity-Threat Inside (Malicieux), Fortinet (maliciel), Liste complète des détections (VirusTotal)
Serving IP Address (worldbooks[.]us) 103.224.212.222
Noms de détection (justpayless[.]net) Certego (Malicieux), CRDF (Malicieux), CyRadar (Malicious), ESET (malicieux), Fortinet (malicieux), Liste complète des détections (VirusTotal)
Adresse IP de diffusion (justpayless[.]net) 8.211.2.246
Noms de détection (subscription_1618608166.xlsb) Avast (Autre:maliciel-gen[Trj]), BitDefender (Trojan.Agent.FFXL), ESET-NOD32 (Une variante de Generik.HNQJYDZ), Kaspersky (HEUR:Trojan.MSOffice.Stratos.gen), Microsoft (TrojanDownloader:O97M/EncDoc.AVP! MTB), Liste complète des détections (VirusTotal)
Déguisement Lettre de Paradise Books, service de rappel médical
Numéros d'escrocs +1-816-897-0374, +1-816-307-4271
Symptômes Achats en ligne non autorisés, modification des mots de passe de compte en ligne, vol d'identité, accès illégal à l'ordinateur.
Méthodes de distribution Courriels trompeurs, publicités pop-up en ligne malhonnêtes, techniques d'empoisonnement des moteurs de recherche, domaines mal orthographiés.
Dommages Perte d'informations privées sensibles, perte monétaire, vol d'identité.
Suppression des maliciels
(Windows)

Pour éliminer d'éventuelles infections par des maliciels, analysez votre ordinateur avec un logiciel antivirus légitime. Nos chercheurs en sécurité recommandent d'utiliser Combo Cleaner.
▼ Téléchargez Combo Cleaner
Un scanner gratuit vérifie si votre ordinateur est infecté. Pour utiliser le produit complet, vous devez acheter une licence pour Combo Cleaner. 7 jours d’essai limité gratuit disponible. Combo Cleaner est détenu et exploité par Rcs Lt, la société mère de PCRisk. Lire la suite.

Un autre exemple d'escroquerie par courriel utilisée pour inciter les utilisateurs à appeler le numéro fourni, puis à télécharger un fichier malveillant conçu pour infecter les ordinateurs avec des maliciels est "Your Free Trial Period Is Almost Over Email Scam" (cet article contient un certain nombre d'exemples de courriels utilisés pour inciter les destinataires à installer le maliciel BazarLoader). En règle générale, les cybercriminels derrière les courriels utilisés pour diffuser des maliciels se font passer pour des entreprises, des organisations légitimes. Dans la plupart des cas, les destinataires qui succombent à ces escroqueries (fichiers ouverts qui leur sont attachés ou téléchargés via des sites Web fournis) deviennent victimes de vol d'identité, subissent des pertes financières, perdent l'accès à leurs comptes personnels, aux fichiers stockés sur leurs ordinateurs et (ou) rencontrent d'autres problèmes. Par conséquent, les courriels de ce type doivent être ignorés et signalés.

Comment les campagnes de spam infectent-elles les ordinateurs ?

On sait que l'un des fichiers utilisés pour distribuer BazarLoader via la campagne BazarCall est un document Microsoft Excel malveillant. Ce document installe des maliciels uniquement si les utilisateurs activent les commandes macros (édition/contenu). Cependant, les documents malveillants ouverts avec les versions de Microsoft Office publiées avant Microsoft Office 2010 installent des maliciels sans demander d'activer les commandes macros. C'est parce que ces versions ne disposent pas du mode "Vue protégée", qui empêche les documents malveillants d'installer des maliciels juste après leur ouverture. D'autres exemples de fichiers que les cybercriminels peuvent utiliser pour diffuser des maliciels sont des fichiers exécutables (par exemple, EXE), des fichiers JavaScript, des documents PDF, d'autres documents Microsoft Word, des fichiers ZIP, RAR et d'autres fichiers d'archive. Comme mentionné dans le premier paragraphe, BazarLoader n'est pas le seul maliciel que les cybercriminels peuvent distribuer via la campagne BazarCall.

Comment éviter l'installation de maliciels ?

Évitez d'ouvrir des fichiers téléchargés à partir de sites Web douteux, via des réseaux Peer-to-Peer, des téléchargeurs tiers, etc. Vous pouvez ouvrir des fichiers ou utiliser des programmes téléchargés à partir de pages légitimes et via des liens directs en toute sécurité. Une autre chose importante est de ne pas ouvrir de fichiers ou de liens vers des sites Web dans des courriels non pertinents reçus d'expéditeurs suspects ou inconnus. Très souvent, les courriels de ce type contiennent des fichiers malveillants, des liens conçus pour diffuser des maliciels. Le système d'exploitation et les logiciels installés doivent être tenus à jour. Cela doit être fait en utilisant des fonctions implémentées, des outils fournis par les développeurs officiels. Il est fortement recommandé de ne faire confiance à aucun autre outil (programmes de mise à jour non officiels, tiers ou outils de "cracking"). Il est courant que ces outils soient fournis avec des maliciels. Un autre détail sur les outils de "cracking" est qu'il est illégal de les utiliser pour contourner l'activation du logiciel. En outre, il est conseillé d'analyser régulièrement le système d'exploitation à la recherche de virus et de le faire à l'aide d'un antivirus ou d'un anti-logiciel espion réputé. Si vous avez déjà ouvert des pièces jointes malveillantes, nous vous recommandons d'exécuter une analyse avec Combo Cleaner pour éliminer automatiquement les maliciels infiltrés.

Texte présenté dans le courriel principal de BazarCall :

Subject: 0407848703113. The trial phase on your account is coming to an end

Greetings, 0407848703113


This message is just a reminder regarding your current premium.

Your premium trial is coming to an end.

But, the banking card you've mentioned in your existing profile will likely be used to extend your subscription.

We have pretty much all of the publications on just about any topic within our massive web collection.

Check out our webpage, to check on our family plans, where your friends and family can have a great time collectively applying a serious discount.

Thank yoou so much for your personal faith in our service!

Want to know more regarding your premium, and still have some other questions? Here is how you can contact our Support service +1 816 307 4271

Thanks,
Paradise Books Staff

Do not react to this message directly


8237 E Century Blvd #399, Los Angeles, CA 90010
Copyright © 2021 Paradise Book, Inc. All legal rights reserved.


This email was recently scanned by AVG anti malware systems.

Site Web utilisé pour distribuer des maliciels via cette variante de messagerie :

Bazarcall scam site principal conçu pour distribuer des logiciels malveillants

Document Excel malveillant conçu pour installer BazarLoader :

bazarcal scam document malveillant conçu pour installer bazarloader

Capture d'écran de la deuxième variante du courriel BazarCall :

arnaque bazarcall une autre variante de l'arnaque

Texte dans cette variante :

Subject: Do you want to extend your free period CHT92136906?

Dear Subscriber, #CHTCHT92136906

Your free period is almost over... How was it? But you choose to stay with us!

Your membership will be continued using a payment method you already mentioned.
In order to stay with us you will be charged $69.99 per month.

We are really excited that you are with us, let's move to premium!

If you would like to learn more about your order, get in touch with the Customer Service Center at 1 (816) 897 0374 or visit our website.

We are donating $1 out every premium membership bought to the Vietnam Veterans of America!

Thank you for choosing iMed Service

Site Web utilisé pour diffuser des maliciels via cette variante :

bazarcall arnaque un autre site Web utilisé pour distribuer des logiciels malveillants

Voici une vidéo d'un chercheur de maliciels essayant de contacter les cybercriminels derrière cette arnaque par courriel. Les escrocs tentent finalement de tromper l'appelant pour qu'il télécharge et ouvre un document MS Excel malveillant conçu pour injecter le maliciel BazarLoader dans le système :

Suppression automatique et instantanée des maliciels : La suppression manuelle des menaces peut être un processus long et compliqué qui nécessite des compétences informatiques avancées. Combo Cleaner est un outil professionnel de suppression automatique des maliciels qui est recommandé pour se débarrasser de ces derniers. Téléchargez-le en cliquant sur le bouton ci-dessous :
 ▼ TÉLÉCHARGEZ Combo Cleaner Le scanneur gratuit vérifie si votre ordinateur est infecté. Pour utiliser le produit complet, vous devez acheter une licence pour Combo Cleaner. 7 jours d’essai limité gratuit disponible. Combo Cleaner est détenu et exploité par Rcs Lt, la société mère de PCRisk. Lire la suite. En téléchargeant n'importe quel logiciel listé sur ce site web vous acceptez notre Politique de Confidentialité et nos Conditions d’Utilisation.

Menu rapide :

Comment supprimer manuellement les maliciels ?

La suppression manuelle des maliciels est une tâche compliquée, il est généralement préférable de laisser les programmes antivirus ou anti-maliciel le faire automatiquement. Pour supprimer ce maliciel, nous vous recommandons d'utiliser Combo Cleaner. Si vous souhaitez supprimer un maliciel manuellement, la première étape consiste à identifier le nom du maliciel que vous essayez de supprimer. Voici un exemple d'un programme suspect exécuté sur l'ordinateur de l'utilisateur:

processus malveillant en cours d'exécution sur l'échantillon d'ordinateur de l'utilisateur

Si vous avez vérifié la liste des programmes en cours d'exécution sur votre ordinateur, par exemple en utilisant le gestionnaire de tâches et que vous avez identifié un programme qui semble suspect, vous devriez poursuivre ces étapes :

suppression manuelle des logiciels malveillants étape 1 Téléchargez un programme appelé Autoruns. Ce programme affiche les applications de démarrage automatique, l'emplacement du Registre et du système de fichiers :

capture d'écran de l'application autoruns

suppression manuelle des logiciels malveillants étape 2Redémarrez votre ordinateur en mode sans échec :

Utilisateurs de Windows XP et Windows 7 : Démarrez votre ordinateur en mode sans échec. Cliquez sur Démarrer, cliquez sur Arrêter, cliquez sur Redémarrer, cliquez sur OK. Pendant le processus de démarrage de votre ordinateur, appuyez plusieurs fois sur la touche F8 de votre clavier jusqu'à ce que le menu Options avancées de Windows s'affiche, puis sélectionnez Mode sans échec avec mise en réseau dans la liste.

Mode sans échec avec réseau

Vidéo montrant comment démarrer Windows 7 en "Mode sans échec avec mise en réseau" :

Utilisateurs de Windows 8 : Démarrez Windows 8 est en mode sans échec avec mise en réseau - Allez à l'écran de démarrage de Windows 8, tapez Avancé, dans les résultats de la recherche, sélectionnez Paramètres. Cliquez sur Options de démarrage avancées, dans la fenêtre "Paramètres généraux du PC" ouverte, sélectionnez Démarrage avancé. Cliquez sur le bouton "Redémarrer maintenant". Votre ordinateur redémarre dans le menu "Options de démarrage avancées". Cliquez sur le bouton "Dépannage", puis sur le bouton "Options avancées". Dans l'écran des options avancées, cliquez sur "Paramètres de démarrage". Cliquez sur le bouton "Redémarrer". Votre PC redémarrera dans l'écran Paramètres de démarrage. Appuyez sur F5 pour démarrer en mode sans échec avec mise en réseau.

Mode sans échec de Windows 8 avec mise en réseau

Vidéo montrant comment démarrer Windows 8 en "Mode sans échec avec mise en réseau" :

Utilisateurs Windows 10 : Cliquez sur le logo Windows et sélectionnez l'icône Alimentation. Dans le menu ouvert, cliquez sur "Redémarrer" tout en maintenant le bouton "Shift" enfoncé sur votre clavier. Dans la fenêtre "Choisir une option", cliquez sur "Dépannage", puis sélectionnez "Options avancées". Dans le menu des options avancées, sélectionnez "Paramètres de démarrage" et cliquez sur le bouton "Redémarrer". Dans la fenêtre suivante, cliquez sur le bouton "F5" de votre clavier. Cela redémarrera votre système d'exploitation en mode sans échec avec la mise en réseau.

mode sans échec windows 10 avec mise en réseau

Vidéo montrant comment démarrer Windows 10 en "Mode sans échec avec mise en réseau" :

suppression manuelle des logiciels malveillants étape 3Extrayez l'archive téléchargée et exécutez le fichier Autoruns.exe.

extraire autoruns.zip et exécuter autoruns.exe

suppression manuelle des logiciels malveillants étape 4Dans l'application Autoruns, cliquez sur "Options" en haut de l'écran et décochez les options "Masquer les emplacements vides" et "Masquer les entrées Windows". Après cette procédure, cliquez sur l'icône "Actualiser".

Cliquez sur

suppression manuelle des logiciels malveillants étape 5Vérifiez la liste fournie par l'application Autoruns et localisez le fichier maliciel que vous souhaitez éliminer.

Vous devriez écrire le chemin complet et le nom. Notez que certains maliciels cachent leurs noms de processus sous des noms de processus Windows légitimes. A ce stade, il est très important d'éviter de supprimer les fichiers système. Après avoir localisé le programme suspect que vous souhaitez supprimer, cliquez avec le bouton droit de la souris sur son nom et choisissez "Supprimer".

localisez le fichier malveillant que vous souhaitez supprimer

Après avoir supprimé le maliciel via l'application Autoruns (ceci garantit que le maliciel ne s'exécutera pas automatiquement au prochain démarrage du système), vous devez rechercher le nom du maliciel sur votre ordinateur. Assurez-vous d'activer les fichiers et dossiers cachés avant de continuer. Si vous trouvez le fichier du maliciel, veillez à le supprimer.

rechercher un fichier malveillant sur votre ordinateur

Redémarrez votre ordinateur en mode normal. Suivre ces étapes devrait vous aider à supprimer tout maliciel de votre ordinateur. Notez que la suppression manuelle des menaces nécessite des compétences informatiques avancées, il est recommandé de laisser la suppression des maliciels aux programmes antivirus et antimaliciel. Ces étapes peuvent ne pas fonctionner avec les infections malveillantes avancées. Comme toujours, il est préférable d'éviter d'être infecté par des maliciels qui tentent de les supprimer par la suite. Pour assurer la sécurité de votre ordinateur, assurez-vous d'installer les dernières mises à jour du système d'exploitation et d'utiliser un logiciel antivirus.

Pour être sûr que votre ordinateur est exempt d'infections malveillantes, nous vous recommandons de le scanner avec Combo Cleaner.

▼ Montrer la discussion

À propos de l’auteur:

Tomas Meskauskas

Je suis passionné par la sécurité informatique et la technologie. J'ai une expérience de plus de 10 ans dans diverses entreprises liées à la résolution de problèmes techniques informatiques et à la sécurité Internet. Je travaille comme auteur et éditeur pour PCrisk depuis 2010. Suivez-moi sur Twitter et LinkedIn pour rester informé des dernières menaces de sécurité en ligne. En savoir plus sur l'auteur.

PCrisk Security Portal est un portail de sécurité créé par des chercheurs en sécurité pour aider à éduquer les utilisateurs d'ordinateurs sur les dernières menaces de sécurité en ligne. Plus d'informations sur les auteurs et les chercheurs qui travaillent chez PCrisk sur notre page Contact.

Nos guides de suppression des logiciels malveillants sont gratuits. Cependant, si vous souhaitez nous soutenir, vous pouvez nous envoyer un don.

À propos de nous

PCrisk est un portail de cybersécurité, informant les internautes sur les dernières menaces numériques. Notre contenu est fourni par des experts en sécurité et des chercheurs professionnels en logiciels malveillants (maliciels). En savoir plus sur nous.

Instructions de suppression en d'autres langues
Guides de suppression des nouveaux virus
Guides de suppression des virus les plus connus
Code QR
Arnaque BazaCall Code QR
Scannez ce code QR pour avoir un accès rapide au guide de suppression du Arnaque BazaCall sur votre diapositif mobile.
Nous vous recommandons :

Débarrassez-vous des infections de maliciels Windows dès aujourd'hui :

▼ SUPPRIMEZ-LES MAINTENANT Téléchargez Combo Cleaner

Plateforme: Windows

Note de l’éditeur pour Combo Cleaner :
Note!Remarquable!

[Haut de la page]

Le scanneur gratuit vérifie si votre ordinateur est infecté. Pour utiliser le produit complet, vous devez acheter une licence pour Combo Cleaner. 7 jours d’essai limité gratuit disponible. Combo Cleaner est détenu et exploité par Rcs Lt, la société mère de PCRisk. Lire la suite.