FacebookTwitterLinkedIn

Bel niet naar de nummers van de BazarCall e-mailcampagne

Ook bekend als: BazaCall scam
Type: Phishing/Oplichting
Schadeniveau: Ernstig

Tomas Meskauskas Geschreven door op (bijgewerkt)

BazarCall scam verwijderingsinstructies

Wat is BazarCall scam?

BazarCall is de naam van de e-mailcampagne die wordt gebruikt om geadresseerden te verleiden malware op hun computers te installeren. Cybercriminelen achter deze campagne sturen e-mails met het onderwerp 'abonnement', waarin ze ontvangers aanmoedigen het opgegeven telefoonnummer te bellen om een abonnementsplan te annuleren of te verlengen. Nadat het opgegeven nummer is gebeld, wordt de ontvanger gevraagd een kwaadaardige website te bezoeken en een bestand te downloaden dat is ontworpen om malware te installeren. Onderzoek toont aan dat de BazarCall-campagne wordt gebruikt om BazarLoader-malware te verspreiden die de cybercriminelen toegang verschaft tot de geïnfecteerde computers. Het is mogelijk dat deze campagne ook wordt gebruikt om andere kwaadaardige software te verspreiden.

BazarCall e-mail spam campagne

Er zijn meerdere BazarCall-campagnevarianten die worden gebruikt om ontvangers te verleiden hun computers te infecteren met BazarLoader (of andere malware). De belangrijkste verschillen tussen hen zijn het nummer dat ontvangers wordt gevraagd te bellen en de naam van een bedrijfsnaam die cybercriminelen gebruiken als vermomming. Het is bekend dat één e-mail vermomd is als een e-mail van Paradise Books waarin wordt gevraagd het nummer +1-816-307-4271 te bellen, en een andere vermomd als een Medical Reminder Service waarin wordt gevraagd het nummer +1-816-897-0374 te bellen. Het is waarschijnlijk dat er andere varianten zijn met andere bedrijfsnamen en telefoonnummers. Het belangrijkste doel van deze e-mails is de ontvangers te laten geloven dat een abonnement binnenkort afloopt/een proefperiode bijna voorbij is en het opgegeven nummer te bellen om het abonnement te verlengen of te annuleren. Eenmaal gebeld, vragen de oplichters om een website te bezoeken waarop een kwaadaardig bestand staat en dat bestand vervolgens te downloaden en te openen. Onderzoek toont aan dat ten minste één van de websites een kwaadaardig Microsoft Excel-document host dat is ontworpen om BazarLoader te installeren. Deze pagina's kunnen echter ook zijn ontworpen om andere bestanden te downloaden die zijn ontworpen om andere malware te installeren.

BazarLoader functioneert als een backdoor trojan - het installeert extra malware. Het is bekend dat één van de kwaadaardige programma's die deze trojan gebruikt om te verspreiden, de RYUK ransomware is. Ransomware is een type malware dat bestanden versleutelt en ontoegankelijk houdt tenzij slachtoffers ze ontsleutelen met een ontsleutelingstool dat ze van de cybercrminelen hebben gekocht. Hoewel, BazarLoader kan worden gebruikt om andere ransomware, cryptocurrency miners, remote access trojans, enz. te verspreiden. Meestal gebruiken cybercriminelen malware zoals BazarLoader om kwaadaardige software te verspreiden die is ontworpen om bestanden te versleutelen, persoonlijke informatie te stelen, cryptocurrency te minen of de aanvallers op afstand toegang te verschaffen tot de geïnfecteerde computer.

Overzicht bedreiging:
Naam BazarCall (BazaCall) Scam
Type bedreiging Phishing, Scam, Social Engineering
Valse claim Abonnementsplan loopt binnenkort af/proefperiode is bijna voorbij
Gerelateerde domeinen getmers[.]us, worldbooks[.]us, justpayless[.]net
Detectienamen (getmers[.]us) BitDefender (Malware), CRDF (Malicious), ESET (Malware), Fortinet (Malware), volledige lijst van detecties (VirusTotal)
Dienend IP-adres (getmers[.]us) 162.255.119.132
Detectienamen (worldbooks[.]us) CyRadar (Malicious), ESTsecurity-Threat Inside (Malicious), Fortinet (Malware), volledige lijst van detecties (VirusTotal)
Dienend Ip-adres(worldbooks[.]us) 103.224.212.222
Detectienamen (justpayless[.]net) Certego (Malicious), CRDF (Malicious), CyRadar (Malicious), ESET (Malware), Fortinet (Malware), volledige lijst van detecties (VirusTotal)
Dienend IP-adres (justpayless[.]net) 8.211.2.246
Detectienamen(subscription_1618608166.xlsb) Avast (Other:Malware-gen [Trj]), BitDefender (Trojan.Agent.FFXL), ESET-NOD32 (een variant van Generik.HNQJYDZ), Kaspersky (HEUR:Trojan.MSOffice.Stratos.gen), Microsoft (TrojanDownloader:O97M/EncDoc.AVP!MTB), volledige lijst van detecties (VirusTotal)
Vermomming E-mail van Paradise Books, Medical Reminder Service
Nummers van de oplichters +1-816-897-0374, +1-816-307-4271
Symptomen Ongeautoriseerde online aankopen, gewijzigde wachtwoorden voor online accounts, identiteitsdiefstal, illegale toegang tot de computer.
Verspreidingsmethodes Misleidende e-mails, bedrieglijke online pop-up advertenties, zoekmachine pishingtechnieken, verkeerd gespelde domeinen.
Schade Verlies van gevoelige privé-informatie, geldverlies, identiteitsdiefstal.
Malware verwijderen (Windows)

Om mogelijke malware-infecties te verwijderen, scant u uw computer met legitieme antivirussoftware. Onze beveiligingsonderzoekers raden aan Combo Cleaner te gebruiken.
▼ Combo Cleaner voor Windows Downloaden
Gratis scanner die controleert of uw computer geïnfecteerd is. Om het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door Rcs Lt, het moederbedrijf van PCRisk. Lees meer.

Een ander voorbeeld van een e-mail scam die wordt gebruikt om gebruikers ertoe te verleiden het opgegeven nummer te bellen en vervolgens een kwaadaardig bestand te downloaden dat is ontworpen om computers met malware te infecteren, is "Your Free Trial Period Is Almost Over Email Scam" (uw gratis proefperiode is bijna voorbij) (dit artikel bevat een aantal voorbeelden van e-mails die worden gebruikt om ontvangers ertoe te verleiden de BazarLoader malware te installeren). In het algemeen doen cybercriminelen achter e-mails die worden gebruikt om malware af te leveren, zich voor als legitieme bedrijven of organisaties. In de meeste gevallen worden ontvangers die in deze oplichtingspraktijken trappen (en bestanden openen die als bijlage zijn meegestuurd of die via aangeboden websites zijn gedownload) het slachtoffer van identiteitsdiefstal, geldverlies, verlies van toegang tot persoonlijke accounts, bestanden die op hun computer zijn opgeslagen, en (of) andere problemen. Daarom moeten dit soort e-mails worden genegeerd en gerapporteerd.

Hoe infecteren spamcampagnes computers?

Het is bekend dat een van de bestanden die worden gebruikt om BazarLoader via de BazarCall-campagne te verspreiden, een kwaadaardig Microsoft Excel-document is. Dat document installeert alleen kwaadaardige software als gebruikers macro-opdrachten inschakelen (bewerken/inhoud). Schadelijke documenten die worden geopend met Microsoft Office-versies die voor Microsoft Office 2010 zijn uitgebracht, installeren echter malware zonder de vraag om macro's in te schakelen. Dat komt omdat die versies niet beschikken over de modus "Beschermde weergave", die voorkomt dat schadelijke documenten malware installeren meteen nadat ze zijn geopend. Meer voorbeelden van bestanden die cybercriminelen kunnen gebruiken om malware af te leveren zijn uitvoerbare bestanden (bijv. EXE), JavaScript-bestanden, PDF-documenten, andere Microsoft Word-documenten, ZIP-, RAR- en andere archiefbestanden. Zoals vermeld in de eerste paragraaf, is BazarLoader niet de enige malware die cybercriminelen kunnen verspreiden via de BazarCall-campagne.

Hoe voorkomt u de installatie van malware?

Vermijd het openen van bestanden die zijn gedownload van twijfelachtige websites, via Peer-to-Peer netwerken, downloaders van derden, enzovoort. Het is veilig om bestanden te openen of programma's te gebruiken die zijn gedownload van legitieme pagina's en via directe links. Een ander belangrijk ding is om geen bestanden of website links te openen in irrelevante e-mails die worden ontvangen van verdachte of onbekende afzenders. Dergelijke e-mails bevatten vaak schadelijke bestanden of links die bedoeld zijn om malware af te leveren. Het geïnstalleerd besturingssysteem en de software moeten up-to-date worden gehouden. Dit moet worden gedaan met behulp van geïmplementeerde functies, tools die worden geleverd door de officiële ontwikkelaars. Het wordt sterk aangeraden om geen andere tools te vertrouwen (onofficiële, third-party updaters, of 'cracking' tools). Het is gebruikelijk dat deze tools gebundeld zijn met malware. Een ander detail over 'cracking' tools is dat het illegaal is om ze te gebruiken om software activatie te omzeilen. Daarnaast is het raadzaam om het besturingssysteem regelmatig te scannen op virussen en dit te doen met een betrouwbare antivirus- of antispyware-software. Als u al kwaadaardige bijlagen hebt geopend, raden wij u aan een scan uit te voeren met Combo Cleaner om geïnfiltreerde malware automatisch te verwijderen.

Tekst in de e-mail van BazarCall:

Subject: 0407848703113. The trial phase on your account is coming to an end

Greetings, 0407848703113


This message is just a reminder regarding your current premium.

Your premium trial is coming to an end.

But, the banking card you've mentioned in your existing profile will likely be used to extend your subscription.

We have pretty much all of the publications on just about any topic within our massive web collection.

Check out our webpage, to check on our family plans, where your friends and family can have a great time collectively applying a serious discount.

Thank yoou so much for your personal faith in our service!

Want to know more regarding your premium, and still have some other questions? Here is how you can contact our Support service +1  816  307  4271

Thanks,
Paradise Books Staff

Do not react to this message directly


8237 E Century Blvd #399, Los Angeles, CA 90010
Copyright © 2021 Paradise Book, Inc. All legal rights reserved.


This email was recently scanned by AVG anti malware systems.

Website gebruikt om malware te verspreiden via deze e-mailvariant:

bazarcall scam belangrijkste website ontworpen om malware te verspreiden

Kwaadaardig Excel document ontworpen om BazarLoader te installeren:

bazarcal scam kwaadaardig document ontworpen om bazarloader te installeren

Schermafdruk van de tweede BazarCall e-mail variant:

bazarcall scam een andere scam variant

Tekst in deze variant:

Subject: Do you want to extend your free period CHT92136906?

Dear Subscriber, #CHTCHT92136906

Your free period is almost over... How was it? But you choose to stay with us!

Your membership will be continued using a payment method you already mentioned.
In order to stay with us you will be charged $69.99 per month.

We are really excited that you are with us, let's move to premium!

If you would like to learn more about your order, get in touch with the Customer Service Center at 1 (816) 897 0374 or visit our website.

We are donating $1 out every premium membership bought to the Vietnam Veterans of America!

Thank you for choosing iMed Service

Website gebruikt om malware te verspreiden via deze variant:

bazarcall scam een andere website gebruikt om malware te verspreiden

Hier is een video van een malware onderzoeker die contact probeert op te nemen met cybercriminelen achter deze e-mail scam. De oplichters proberen de beller uiteindelijk te verleiden tot het downloaden en openen van een kwaadaardig MS Excel-document dat is ontworpen om BazarLoader-malware in het systeem te injecteren:

Onmiddellijke automatische malwareverwijdering: Handmatig de dreiging verwijderen, kan een langdurig en ingewikkeld proces zijn dat geavanceerde computer vaardigheden vereist. Combo Cleaner is een professionele automatische malware verwijderaar die wordt aanbevolen om malware te verwijderen. Download het door op de onderstaande knop te klikken:
 ▼ DOWNLOAD Combo Cleaner De gratis scanner controleert of uw computer geïnfecteerd is. Om het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door Rcs Lt, het moederbedrijf van PCRisk. Lees meer. Door het downloaden van software op deze website verklaar je je akkoord met ons privacybeleid en onze algemene voorwaarden.

Snelmenu:

Hoe verwijder ik malware manueel?

Handmatig malware verwijderen is een ingewikkelde taak - meestal is het het beste om antivirus of anti-malware programma's dit automatisch te laten doen. Om deze malware te verwijderen raden wij u aan Combo Cleaner te gebruiken. Als u malware handmatig wilt verwijderen, is de eerste stap het identificeren van de naam van de malware die u probeert te verwijderen. Hier is een voorbeeld van een verdacht programma dat draait op de computer van een gebruiker:

kwaadaardig proces draait op de computer van de gebruiker voorbeeld

Als u de lijst met programma's die op uw computer draaien hebt gecontroleerd, bijvoorbeeld met taakbeheer, en een programma hebt gevonden dat er verdacht uitziet, moet u verdergaan met deze stappen:

handmatige malware verwijdering stap 1Download een programma genaamd Autoruns. Dit programma toont automatisch opstartende toepassingen, register- en bestandssysteemlocaties:

schermafdruk van autoruns toepassing

handmatige malware verwijdering stap 2Herstart uw computer in Veilige modus:

Windows XP and Windows 7 gebruikers: Start uw computer in veilige modus. Klik op Start, klik op Afsluiten, klik op Opnieuw opstarten, klik op OK. Druk tijdens het opstarten van uw computer meerdere malen op de toets F8 op uw toetsenbord totdat u het menu Geavanceerde opties van Windows ziet en selecteer vervolgens Veilige modus met netwerkmogelijkheden in de lijst.

Veilige modus met netwerkmogelijkheden

Video die toont hoe Windows 7 op te starten in "Veilige modus met netwerkmogelijkheden":

Windows 8 gebruikers: Windows 8 starten in veilige modus met netwerkmogelijkheden - Ga naar het startscherm van Windows 8, typ Geavanceerde, selecteer in de zoekresultaten Instellingen. Klik op Geavanceerde opstartopties, in het geopende venster "Algemene pc-instellingen" selecteert u Geavanceerd opstarten. Klik op de knop "Nu opnieuw opstarten". Uw computer zal nu opnieuw opstarten in het "Geavanceerde opstartopties menu". Klik op de knop "Problemen oplossen", en vervolgens op de knop "Geavanceerde opties". In het scherm met geavanceerde opties klikt u op "Opstartinstellingen". Klik op de knop "Herstarten". Uw PC zal opnieuw opstarten in het scherm "Opstartinstellingen". Druk op F5 om op te starten in Veilige modus met netwerkmogelijkheden.

Windows 8 Veilige modus met netwerkmogelijkheden

Video die laat zien hoe u Windows 8 opstart in "Veilige modus met netwerkmogelijkheden":

Windows 10 gebruikers: Klik op het Windows-logo en selecteer het pictogram Power. Klik in het geopende menu op "Herstart" terwijl u de "Shift"-toets op uw toetsenbord ingedrukt houdt. In het venster "Kies een optie" klikt u op "Problemen oplossen", vervolgens selecteert u "Geavanceerde opties". In het menu "Geavanceerde opties" selecteert u "Opstartinstellingen" en klikt u op de knop "Herstarten". In het volgende venster moet u op de toets "F5" op uw toetsenbord klikken. Hierdoor wordt uw besturingssysteem opnieuw opgestart in de veilige modus met netwerkmogelijkheden.

windows 10 veilige modus met netwerkmogelijkheden

Video die toont hoe Windows 10 te starten in "Veilige modus met netwerkmogelijkheden":

handmatige malware verwijdering stap 3Uitpakken van het gedownloade archief en voer het Autoruns.exe bestand uit.

pak autoruns.zip uit en voer autoruns.exe uit

handmatige malware verwijdering stap 4In de Autoruns toepassing, klik op "Opties" bovenaan en verwijder het vinkje bij "Lege Locaties Verbergen" en "Windows Entries Verbergen" opties. Klik na deze procedure op het pictogram "Vernieuwen".

Klik bovenaan op 'Opties' en vink de opties 'Lege locaties verbergen' en 'Windowsvermeldingen verbergen' uit

handmatige malware verwijdering stap 5Check de lijst die door de Autoruns toepassing en zoek het malware bestand dat u wilt verwijderen.

U moet het volledige pad en de naam opschrijven. Merk op dat sommige malware procesnamen verbergt onder legitieme Windows procesnamen. In dit stadium is het zeer belangrijk om te vermijden dat systeembestanden worden verwijderd. Nadat u het verdachte programma hebt gevonden dat u wilt verwijderen, klikt u met de rechtermuisknop op de naam ervan en kiest u "Verwijderen".

zoek het malware bestand dat je wilt verwijderen

Na het verwijderen van de malware via de Autoruns toepassing (dit zorgt ervoor dat de malware niet automatisch wordt uitgevoerd bij het volgende opstarten van het systeem), moet u zoeken naar de naam van de malware op uw computer. Zorg ervoor dat u verborgen bestanden en mappen inschakelt voordat u verder gaat. Als u de bestandsnaam van de malware vindt, moet u deze verwijderen.

zoeken naar een malware bestand op uw computer

Herstart uw computer in de normale modus. Het volgen van deze stappen zou alle malware van uw computer moeten verwijderen. Merk op dat het handmatig verwijderen van bedreigingen geavanceerde computervaardigheden vereist. Als u deze vaardigheden niet hebt, laat malwareverwijdering dan over aan antivirus- en anti-malwareprogramma's. Deze stappen werken mogelijk niet bij geavanceerde malware-infecties. Zoals altijd is het beter om infectie te voorkomen dan te proberen later malware te verwijderen. Om uw computer veilig te houden, installeert u de nieuwste updates voor het besturingssysteem en gebruikt u antivirussoftware.

Om er zeker van te zijn dat uw computer vrij is van malware-infecties, raden wij u aan uw computer te scannen met Combo Cleaner.

▼ Toon discussie

Over de auteur:

Tomas Meskauskas

Ik ben gepassioneerd door computerbeveiliging en -technologie. Ik ben al meer dan 10 jaar werkzaam in verschillende bedrijven die op zoek zijn naar oplossingen voor computertechnische problemen en internetbeveiliging. Ik werk sinds 2010 als auteur en redacteur voor PCrisk. Volg mij op Twitter en LinkedIn om op de hoogte te blijven van de nieuwste online beveiligingsrisico's. Lees meer over de auteur.

Het PCrisk-beveiligingsportal is een samenwerking van verschillende beveiligingsonderzoekers om computergebruikers te informeren over de nieuwste online beveiligingsrisico's. Meer informatie over de auteurs en onderzoekers van PCrisk vindt u op onze contact-pagina.

Onze richtlijnen voor het verwijderen van malware zijn gratis. Als u ons echter wilt steunen, kunt u ons een donatie sturen.

Over ons

PCrisk is een cyberbeveiligingsportaal dat internetgebruikers informeert over de nieuwste digitale bedreigingen. Onze inhoud wordt verstrekt door beveiligingsexperts en professionele malware onderzoekers. Lees meer over ons.

Verwijderingsinstructies in andere talen
Nieuwe virus verwijderingsrichtlijnen
Top virus verwijderingsrichtlijnen
QR Code
BazaCall scam QR code
Scan deze QR code om een snelle toegang te hebben tot de verwijderingsgids van BazaCall scam op je mobiele toestel.
Wij raden aan:

Verwijder vandaag nog Windows malware infecties:

▼ VERWIJDER HET NU
Download Combo Cleaner

Platform: Windows

Beoordeling van de redactie voor Combo Cleaner:
Oordeel van de redactieUitmuntend!

[Terug naar boven]

De gratis scanner controleert of uw computer geïnfecteerd is. Om het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door Rcs Lt, het moederbedrijf van PCRisk. Lees meer.