רישיונות ריבוי מכשירים (הנחות נפח)
Computer Security ניצלו לרעה שרתי MS Exchange במסע פרסום דיוג

ניצלו לרעה שרתי MS Exchange במסע פרסום דיוג

עד Mura ב-Computer Security
לתרגם ל:
עברית

מסע פרסום חדש מפיץ באופן פעיל את הטרויאני הבנקאי IcedID . הפעם, שחקני איומים משתמשים בשרתי Microsoft Exchange שהם התפשרו בעבר כדי להפיץ את התוכנה הזדונית.

הקמפיין משתמש בדוא"ל דיוג, שנראה כאילו מקורם במקורות תקפים ומהימנים, מה שמבטיח שיעור המרה טוב יותר של מיילים שנשלחים לזיהומים מוצלחים.

האקרים מנסים שיטות התחמקות חדשות

הקמפיין הנוכחי התגלה על ידי צוות חוקרים עם חברת האבטחה Intezer. על פני השטח, נראה שההאקרים מאחורי הקמפיין לא עושים שום דבר חדשני באופן דרמטי. מסעות פרסום דיוג ישנים יותר הסתמכו על שימוש בחשבונות דוא"ל שנפרצו בעבר כדי לשלוח מהם את דואר הדיוג, והוסיפו תחושת חוקיות מזויפת להודעות.

עם זאת, הפעם הם הוסיפו טקטיקות התחמקות חדשות שהופכות את המסירה המוצלחת של המטען הטרויאני האולטימטיבי למטרה עוד יותר סבירה.

ההאקרים שולחים את דואר הדיוג באמצעות שרתי דואר של Microsoft Exchange כדי לשחרר את המיילים הזדוניים. עם זאת, הם גם מפעילים שכבה נוספת של התחמקות בכל הנוגע למטען בפועל.

במקום להכניס את התוכן הזדוני למסמכים משרדיים, כמו שמסעות פרסום של פישינג עשו במשך עידנים, הסתרת פקודות מאקרו זדוניות בתוך קובץ MS Office, למשל, כעת האקרים עברו להשתמש בקובצי ארכיון ותמונות דיסק. זה מאפשר להם לעקוף מנגנוני הגנה משולבים הן ב-MS Office והן ב-Windows, הנקראים "Mark-of-the-web" או MOTW. MOTW כולל אמצעי מניעה ספציפיים בכל הנוגע לקבצים שהורדו מהאינטרנט, כולל פתיחת הקבצים בתצוגה מוגנת ביישומי Office.

עם זאת, שימוש בקבצי ארכיון ותמונות דיסק מסוג .iso מאפשר להאקרים לעקוף את שכבת ההגנה הזו, מכיוון שסוגי קבצים אלה יסומנו עם MOTW, אך ייתכן שהקבצים הכלולים בהם לא.

המיילים הדיוגים המשמשים להפצת IcedID משתמשים במה שנקרא "חטיפת שרשרת" - באמצעות אימייל שרשרת קיים של תקשורת בין הקורבן לחשבון שנפגע. זה מעניק תוספת אמינות לפיתוי.

עסקים כרגיל לאחר פריסת המטען

למייל מצורף קובץ ארכיון, המוגן בסיסמה. הסיסמה ממוקמת בצורה נוחה באימייל. הארכיון מכיל קובץ תמונת דיסק מסוג .iso, אשר בתורו מכיל קובץ main.dll וקובץ קיצור document.lnk. ניסיון לפתוח את ה"מסמך" מוביל לפריסת המטען במערכת של הקורבן, תוך שימוש בקובץ main.dll כדי לסכן את המערכת.

עם התפתחות שרשראות התקיפה, שמירה על בטיחות מאיומים דומים מסתכמת לא רק בפרוטוקול אבטחה חזק אלא גם במודעות אישית והימנעות מטעויות אנוש קריטיות.

טוען...