Κατάχρηση διακομιστών MS Exchange σε καμπάνια ηλεκτρονικού ψαρέματος (phishing).

Μια νέα καμπάνια διαδίδει ενεργά το IcedID τραπεζικό trojan . Αυτή τη φορά, οι φορείς απειλών χρησιμοποιούν διακομιστές του Microsoft Exchange που είχαν προηγουμένως παραβιάσει για τη διάδοση του κακόβουλου λογισμικού.

Η καμπάνια χρησιμοποιεί μηνύματα ηλεκτρονικού "ψαρέματος" (phishing) που έχουν σχεδιαστεί για να φαίνονται σαν να προέρχονται από έγκυρες και αξιόπιστες πηγές, διασφαλίζοντας καλύτερο ποσοστό μετατροπής των μηνυμάτων ηλεκτρονικού ταχυδρομείου που αποστέλλονται σε επιτυχημένες μολύνσεις.

Οι χάκερ δοκιμάζουν νέες μεθόδους φοροδιαφυγής

Η τρέχουσα καμπάνια ανακαλύφθηκε από μια ομάδα ερευνητών της εταιρείας ασφαλείας Intezer. Επιφανειακά, φαίνεται ότι οι χάκερ πίσω από την καμπάνια δεν κάνουν τίποτα δραματικά καινοτόμο. Οι παλαιότερες καμπάνιες ηλεκτρονικού "ψαρέματος" βασίζονταν στη χρήση λογαριασμών ηλεκτρονικού ταχυδρομείου που είχαν παραβιαστεί στο παρελθόν για την αποστολή της αλληλογραφίας ηλεκτρονικού "ψαρέματος" από, προσθέτοντας μια ψευδή αίσθηση νομιμότητας στα μηνύματα.

Ωστόσο, αυτή τη φορά έχουν προσθέσει νέες τακτικές αποφυγής που καθιστούν την επιτυχή παράδοση του απόλυτου ωφέλιμου φορτίου trojan στον στόχο ακόμη πιο πιθανή.

Οι χάκερ στέλνουν την αλληλογραφία ηλεκτρονικού ψαρέματος χρησιμοποιώντας διακομιστές αλληλογραφίας του Microsoft Exchange για να λύσουν τα κακόβουλα μηνύματα ηλεκτρονικού ταχυδρομείου. Ωστόσο, χρησιμοποιούν επίσης ένα επιπλέον στρώμα φοροδιαφυγής όταν πρόκειται για το πραγματικό ωφέλιμο φορτίο.

Αντί να τοποθετείται το κακόβουλο περιεχόμενο σε έγγραφα του γραφείου, όπως έκαναν οι καμπάνιες ηλεκτρονικού ψαρέματος για αιώνες, η απόκρυψη κακόβουλων μακροεντολών μέσα σε ένα αρχείο MS Office, για παράδειγμα, τώρα οι χάκερ έχουν προχωρήσει στη χρήση αρχείων αρχειοθέτησης και εικόνων δίσκου. Αυτό τους επιτρέπει να παρακάμπτουν τους ενσωματωμένους μηχανισμούς προστασίας τόσο στο MS Office όσο και στα Windows, που ονομάζονται "Mark-of-the-web" ή MOTW. Το MOTW περιλαμβάνει συγκεκριμένα μέτρα πρόληψης όταν πρόκειται για αρχεία που λαμβάνονται από τον Ιστό, συμπεριλαμβανομένου του ανοίγματος των αρχείων σε προστατευμένη προβολή σε εφαρμογές του Office.

Ωστόσο, η χρήση αρχείων αρχειοθέτησης και εικόνων δίσκου .iso επιτρέπει στους χάκερ να παρακάμψουν αυτό το επίπεδο προστασίας, καθώς αυτοί οι τύποι αρχείων θα επισημαίνονται με MOTW, αλλά τα αρχεία που περιέχονται σε αυτά ενδέχεται να μην είναι.

Τα μηνύματα ηλεκτρονικού ψαρέματος που χρησιμοποιούνται για τη διάδοση του IcedID χρησιμοποιούν αυτό που ονομάζεται "πειρατεία νήματος" - χρησιμοποιώντας ένα υπάρχον αλυσιδωτό email επικοινωνίας μεταξύ του θύματος και του παραβιασμένου λογαριασμού. Αυτό προσδίδει επιπλέον αξιοπιστία στο δέλεαρ.

Λειτουργία ως συνήθως μόλις αναπτυχθεί το ωφέλιμο φορτίο

Το email έχει ένα συνημμένο αρχείο αρχειοθέτησης, το οποίο προστατεύεται με κωδικό πρόσβασης. Ο κωδικός πρόσβασης βρίσκεται σε βολική τοποθεσία στο email. Το αρχείο περιέχει ένα αρχείο εικόνας δίσκου .iso, το οποίο με τη σειρά του περιέχει ένα αρχείο main.dll και ένα αρχείο συντόμευσης document.lnk. Η προσπάθεια ανοίγματος του "έγγραφου" οδηγεί στην ανάπτυξη του ωφέλιμου φορτίου στο σύστημα του θύματος, χρησιμοποιώντας το αρχείο main.dll για να παραβιάσει το σύστημα.

Με την εξέλιξη των αλυσίδων επίθεσης, η προστασία από παρόμοιες απειλές δεν οφείλεται μόνο σε ένα ισχυρό πρωτόκολλο ασφαλείας αλλά και στην προσωπική ευαισθητοποίηση και στην αποφυγή κρίσιμων ανθρώπινων σφαλμάτων.