MS Exchange сървъри, злоупотребени в фишинг кампания

Нова кампания активно разпространява банковия троянски кон IcedID . Този път заплахите използват сървъри на Microsoft Exchange, които преди това са компрометирали, за да разпространяват злонамерения софтуер.

Кампанията използва фишинг имейли, измислени така, че да изглеждат така, сякаш произхождат от валидни и надеждни източници, което гарантира по-добър процент на конверсия на имейли, изпратени до успешни инфекции.

Хакерите опитват нови методи за избягване

Настоящата кампания е открита от екип от изследователи на охранителната фирма Intezer. На повърхността изглежда, че хакерите зад кампанията не правят нищо драматично иновативно. По-старите фишинг кампании разчитаха на използване на компрометирани преди това имейл акаунти за изпращане на фишинг имейл, добавяйки фалшиво чувство за легитимност към съобщенията.

Този път обаче те са добавили нови тактики за избягване, които правят успешната доставка на крайния полезен товар от троянски коне до целта още по-вероятно.

Хакерите изпращат фишинг пощата, използвайки пощенски сървъри на Microsoft Exchange, за да изхвърлят злонамерените имейли. Въпреки това, те също използват допълнителен слой на избягване, когато става въпрос за действителния полезен товар.

Вместо да поставят злонамерено съдържание в офис документи, както фишинг кампаниите са правили от векове, да крият злонамерени макроси във файл на MS Office, например, сега хакерите преминаха към използване на архивни файлове и дискови изображения. Това им позволява да заобикалят интегрираните механизми за защита както в MS Office, така и в Windows, наречени "Mark-of-the-web" или MOTW. MOTW включва специфични мерки за превенция, когато става въпрос за файлове, изтеглени от мрежата, включително отваряне на файловете в защитен изглед в приложенията на Office.

Въпреки това, използването на архивни файлове и .iso дискови изображения позволява на хакерите да заобиколят този слой на защита, тъй като тези типове файлове ще бъдат маркирани с MOTW, но файловете, съдържащи се в тях, може да не са.

Фишинг имейлите, използвани за разпространение на IcedID, използват това, което се нарича "отвличане на нишки" - използвайки съществуваща верига имейл за комуникация между жертвата и компрометирания акаунт. Това придава допълнителна достоверност на примамката.

Работете както обикновено, след като полезен товар бъде разгърнат

Имейлът има прикачен архивен файл, който е защитен с парола. Паролата е удобно разположена в имейла. Архивът съдържа файл с изображение на .iso диск, който от своя страна съдържа файл main.dll и файл с пряк път document.lnk. Опитът за отваряне на "документа" води до разгръщане на полезния товар в системата на жертвата, като се използва файлът main.dll за компрометиране на системата.

С развитието на веригите за атаки, предпазването от подобни заплахи се свежда не само до стабилен протокол за сигурност, но и до лична информираност и избягване на критична човешка грешка.