MS Exchange -palvelimia väärinkäytetty tietojenkalastelukampanjassa

Uusi kampanja levittää aktiivisesti IcedID -pankkitroijalaista. Tällä kertaa uhkatekijät käyttävät Microsoft Exchange -palvelimia, jotka he olivat aiemmin vaarantaneet haittaohjelman levittämiseen.

Kampanja käyttää phishing-sähköpostiviestejä, jotka on muotoiltu näyttämään ikään kuin ne olisivat peräisin pätevistä ja luotettavista lähteistä, mikä varmistaa onnistuneiden tartuntojen yhteydessä lähetettyjen sähköpostien paremman muuntoprosentin.

Hakkerit kokeilevat uusia väistämismenetelmiä

Nykyisen kampanjan löysi tutkijaryhmä Intezerin kanssa. Pinnalla näyttää siltä, että kampanjan takana olevat hakkerit eivät tee mitään dramaattisesti innovatiivista. Vanhemmat tietojenkalastelukampanjat perustuivat aiemmin vaarantuneiden sähköpostitilien käyttöön tietojenkalasteluviestien lähettämiseen, mikä lisäsi viesteihin väärän laillisuuden tunteen.

Tällä kertaa he ovat kuitenkin lisänneet uusia kiertotaktiikoita, jotka tekevät lopullisen troijalaisen hyötykuorman onnistuneen toimituksen kohteeseen entistä todennäköisempää.

Hakkerit lähettävät tietojenkalasteluviestejä Microsoft Exchange -sähköpostipalvelimien avulla haitallisten sähköpostien poistamiseksi. He kuitenkin käyttävät myös ylimääräistä kiertokerrosta todellisen hyötykuorman suhteen.

Sen sijaan, että hakkerit olisivat lisänneet haitallista sisältöä Office-asiakirjoihin, kuten tietojenkalastelukampanjat ovat tehneet aikoihin, piilottaneet haitallisia makroja esimerkiksi MS Office -tiedostoon, hakkerit ovat nyt siirtyneet käyttämään arkistotiedostoja ja levykuvia. Tämän ansiosta he voivat ohittaa integroidut suojausmekanismit sekä MS Officessa että Windowsissa, joita kutsutaan nimellä "Mark-of-the-web" tai MOTW. MOTW sisältää erityisiä ehkäisytoimenpiteitä, kun on kyse verkosta ladatuista tiedostoista, mukaan lukien tiedostojen avaaminen suojatussa näkymässä Office-sovelluksissa.

Arkistotiedostojen ja .iso-levykuvien avulla hakkerit voivat kuitenkin kiertää tämän suojakerroksen, koska kyseiset tiedostotyypit merkitään MOTW:lla, mutta niiden sisällä olevia tiedostoja ei välttämättä ole.

IcedID:n levittämiseen käytetyt phishing-sähköpostit käyttävät niin sanottua "säikeen kaappausta" eli olemassa olevaa viestintäketjusähköpostia uhrin ja vaarantuneen tilin välillä. Tämä lisää vieheen uskottavuutta.

Toimi normaalisti, kun hyötykuorma on otettu käyttöön

Sähköpostiin on liitetty arkistotiedosto, joka on suojattu salasanalla. Salasana löytyy kätevästi sähköpostista. Arkisto sisältää .iso-levykuvatiedoston, joka puolestaan sisältää main.dll-tiedoston ja pikakuvakkeen document.lnk-tiedoston. "Asiakirjan" avaaminen johtaa siihen, että hyötykuorma siirtyy uhrin järjestelmään käyttämällä main.dll-tiedostoa järjestelmän vaarantamiseen.

Hyökkäysketjujen evoluution myötä samanlaisilta uhilta suojassa pysyminen ei johdu pelkästään vahvasta suojausprotokollasta vaan myös henkilökohtaisesta tietoisuudesta ja kriittisten inhimillisten virheiden välttämisestä.