MS Exchange-servere misbrugt i phishing-kampagne

En ny kampagne spreder aktivt IcedID-banktrojaneren. Denne gang bruger trusselsaktører Microsoft Exchange-servere, som de tidligere havde kompromitteret for at sprede malwaren.

Kampagnen bruger phishing-e-mails, der er behandlet til at se ud, som om de stammer fra gyldige og troværdige kilder, hvilket sikrer en bedre konverteringsrate for e-mails sendt til vellykkede infektioner.

Hackere prøver nye unddragelsesmetoder

Den aktuelle kampagne blev opdaget af et team af forskere med sikkerhedsfirmaet Intezer. På overfladen ser det ud til, at hackerne bag kampagnen ikke laver noget dramatisk innovativt. Ældre phishing-kampagner var afhængige af at bruge tidligere kompromitterede e-mail-konti til at sende phishing-mails fra, hvilket tilføjede en falsk følelse af legitimitet til meddelelserne.

Men denne gang har de tilføjet nye undvigelsestaktikker, der gør den succesfulde levering af den ultimative trojanske nyttelast til målet endnu mere sandsynlig.

Hackerne sender phishing-mails ved hjælp af Microsoft Exchange-mailservere for at afsløre de ondsindede e-mails. Men de bruger også et ekstra lag af unddragelse, når det kommer til den faktiske nyttelast.

I stedet for at lægge det ondsindede indhold i office-dokumenter, som phishing-kampagner har gjort i evigheder, skjule ondsindede makroer inde i en MS Office-fil, for eksempel, er hackere nu gået videre til at bruge arkivfiler og diskbilleder. Dette giver dem mulighed for at omgå integrerede beskyttelsesmekanismer i både MS Office og Windows, kaldet "Mark-of-the-web" eller MOTW. MOTW inkluderer specifikke forebyggende foranstaltninger, når det kommer til filer, der downloades fra nettet, herunder åbning af filerne i beskyttet visning i Office-applikationer.

Brug af arkivfiler og .iso diskbilleder tillader dog hackere at omgå dette beskyttelseslag, da disse filtyper vil blive markeret med MOTW, men det er de filer, der er indeholdt i dem, muligvis ikke.

Phishing-e-mails, der bruges til at sprede IcedID, bruger det, der kaldes "thread hijacking" - ved at bruge en eksisterende kæde-e-mail med kommunikation mellem offeret og den kompromitterede konto. Dette giver lokket ekstra troværdighed.

Business as usual, når nyttelast er installeret

E-mailen har en vedhæftet arkivfil, som er adgangskodebeskyttet. Adgangskoden er bekvemt placeret i e-mailen. Arkivet indeholder en .iso disk image fil, som igen indeholder en main.dll fil og en genvej document.lnk fil. Forsøg på at åbne "dokumentet" fører til, at nyttelasten installeres i offerets system, ved at bruge filen main.dll til at kompromittere systemet.

Med udviklingen af angrebskæder kommer det at forblive sikker mod lignende trusler ikke kun ned på en robust sikkerhedsprotokol, men også på personlig bevidsthed og undgåelse af kritiske menneskelige fejl.