Zneužití serverů MS Exchange v kampani proti phishingu

Nová kampaň aktivně šíří bankovní trojan IcedID . Tentokrát aktéři hrozeb používají servery Microsoft Exchange, které dříve kompromitovali, aby šířili malware.

Kampaň využívá phishingové e-maily, upravené tak, aby vypadaly, jako by pocházely z platných a důvěryhodných zdrojů, což zajišťuje lepší konverzní poměr e-mailů odeslaných úspěšným infekcím.

Hackeři zkoušejí nové způsoby úniku

Současnou kampaň objevil tým výzkumníků s bezpečnostní firmou Intezer. Na první pohled se zdá, že hackeři za kampaní nedělají nic dramaticky inovativního. Starší phishingové kampaně se spoléhaly na používání dříve kompromitovaných e-mailových účtů k odesílání phishingových zpráv, což zprávám dodávalo falešný pocit legitimity.

Tentokrát však přidali nové únikové taktiky, díky nimž je úspěšné doručení konečného trojského koně do cíle ještě pravděpodobnější.

Hackeři odesílají phishingovou poštu pomocí poštovních serverů Microsoft Exchange, aby roznesli škodlivé e-maily. Pokud jde o skutečné užitečné zatížení, ale také využívají další vrstvu úniku.

Místo vkládání škodlivého obsahu do kancelářských dokumentů, jako to dělaly phishingové kampaně po věky, skrývání škodlivých maker například v souboru MS Office, nyní hackeři přešli k používání archivních souborů a diskových obrazů. To jim umožňuje obejít integrované ochranné mechanismy v MS Office i Windows, nazývané "Mark-of-the-web" nebo MOTW. MOTW zahrnuje specifická preventivní opatření, pokud jde o soubory stažené z webu, včetně otevírání souborů v chráněném zobrazení v aplikacích Office.

Použití archivních souborů a obrazů disků .iso však hackerům umožňuje obejít tuto vrstvu ochrany, protože tyto typy souborů budou označeny příznakem MOTW, ale soubory v nich obsažené nemusí být.

Phishingové e-maily používané k šíření IcedID využívají to, čemu se říká „únos vláken“ – pomocí existujícího řetězového e-mailu komunikace mezi obětí a napadeným účtem. To dodává návnadě extra důvěryhodnost.

Po nasazení užitečného zatížení funguje jako obvykle

E-mail má přiložený archivní soubor, který je chráněn heslem. Heslo je pohodlně umístěno v e-mailu. Archiv obsahuje soubor obrazu disku .iso, který zase obsahuje soubor main.dll a soubor zástupce document.lnk. Pokus o otevření „dokumentu“ vede k nasazení užitečného zatížení v systému oběti pomocí souboru main.dll ke kompromitaci systému.

S vývojem řetězců útoků se ochrana před podobnými hrozbami snižuje nejen na robustní bezpečnostní protokol, ale také na osobní povědomí a vyhýbání se kritickým lidským chybám.