Jenis serangan “BazarCall” terbaru menggunakan Google Forms untuk membuat dan mengirimkan kwitansi pembayaran kepada korban, dalam upaya membuat upaya phishing tersebut terlihat lebih sah. “BazarCall”, yang pertama kali terdokumentasi pada tahun 2021, merupakan serangan phishing yang menggunakan email yang menyerupai pemberitahuan pembayaran atau konfirmasi langganan kepada perangkat lunak keamanan, dukungan komputer, platform streaming, dan merek-merek terkenal lainnya. Email tersebut menyatakan bahwa penerima akan diperpanjang secara otomatis ke langganan yang sangat mahal dan seharusnya membatalkannya jika mereka tidak ingin dikenai biaya. Namun, alih-alih berisi tautan ke situs web, email tersebut secara historis menyertakan nomor telepon ke agen layanan pelanggan yang diduga dari merek tersebut, yang dapat dihubungi untuk mempersoalkan tagihan atau membatalkan langganan. Panggilan dijawab oleh pelaku kejahatan siber yang berpura-pura menjadi dukungan pelanggan, menipu korban untuk menginstal malware di komputer mereka dengan memandu mereka melalui proses yang menyesatkan. Malware tersebut dinamakan BazarLoader, dan seperti namanya, ini adalah alat untuk menginstal payload tambahan di sistem korban.
Penyalahgunaan Google Forms
Perusahaan keamanan email Abnormal melaporkan bahwa mereka telah menemukan varian baru dari serangan BazarCall, yang sekarang menyalahgunakan Google Forms yang cukup digemari masyarakat. Penyerang membuat Google Form dengan rincian transaksi palsu, seperti nomor faktur, tanggal, metode pembayaran, dan informasi lainnya tentang produk atau layanan yang digunakan sebagai umpan. Selanjutnya, mereka mengaktifkan opsi “tanda terima respons” dalam pengaturan, yang mengirim salinan formulir yang telah diisi ke alamat email yang diserahkan. Dengan menggunakan alamat email target, salinan formulir yang sudah diisi, yang terlihat seperti konfirmasi pembayaran, dikirimkan kepada target dari server Google.
Pembaruan 19 Desember – Seorang juru bicara Google telah memberikan statement: “Workspace memiliki banyak lapisan pertahanan untuk menjaga pengguna agar tetap aman. Kami menyadari adanya serangan phishing terbaru yang menggunakan Forms, dan meskipun tampaknya terisolasi pada sejumlah kecil pengguna, kami sedang bekerja untuk meningkatkan deteksi”.