Adathalász kampányban visszaéltek MS Exchange szerverekkel

Egy új kampány aktívan terjeszti az IcedID banki trójai programot . Ezúttal a fenyegetés szereplői olyan Microsoft Exchange szervereket használnak, amelyeket korábban feltörtek a kártevő terjesztésére.

A kampány adathalász e-maileket használ, amelyek úgy tűnnek, mintha érvényes és megbízható forrásból származnának, így biztosítva a sikeres fertőzésekre küldött e-mailek jobb konverziós arányát.

A hackerek új kijátszási módszereket próbálnak ki

A jelenlegi kampányt az Intezer biztonsági cég kutatócsoportja fedezte fel. A felszínen úgy tűnik, hogy a kampány mögött álló hackerek nem csinálnak semmi drámai innovatív dolgot. A régebbi adathalász kampányok arra támaszkodtak, hogy korábban feltört e-mail fiókokat használtak az adathalász levelek küldésére, ami hamis legitimitásérzetet ad az üzenetekhez.

Ezúttal azonban új kijátszási taktikákat adtak hozzá, amelyek még valószínűbbé teszik a végső trójai rakomány sikeres célba juttatását.

A hackerek az adathalász leveleket Microsoft Exchange levelezőszervereken keresztül küldik, hogy kiterjesszék a rosszindulatú e-maileket. Ugyanakkor a tényleges hasznos teher tekintetében egy extra kijátszási réteget is alkalmaznak.

Ahelyett, hogy a rosszindulatú tartalmat az irodai dokumentumokba helyezték volna el, mint ahogyan az adathalász kampányok régen tették, például a rosszindulatú makrókat elrejtették egy MS Office-fájlban, most a hackerek áttértek az archív fájlok és lemezképek használatára. Ez lehetővé teszi számukra, hogy megkerüljék az integrált védelmi mechanizmusokat mind az MS Office-ban, mind a Windowsban, úgynevezett "Mark-of-the-web" vagy MOTW. A MOTW speciális megelőzési intézkedéseket tartalmaz az internetről letöltött fájlokkal kapcsolatban, beleértve a fájlok védett nézetben való megnyitását az Office alkalmazásokban.

Az archív fájlok és az .iso lemezképek használata azonban lehetővé teszi a hackerek számára, hogy megkerüljék ezt a védelmi réteget, mivel ezek a fájltípusok MOTW-vel lesznek megjelölve, de előfordulhat, hogy a bennük lévő fájlok nem.

Az IcedID terjesztésére használt adathalász e-mailek úgynevezett "száleltérítést" használnak – az áldozat és a feltört fiók között meglévő kommunikációs láncot használnak. Ez extra hitelességet kölcsönöz a csalinak.

A szokásos üzletmenet a rakomány telepítése után

Az e-mailhez egy jelszóval védett archív fájl van csatolva. A jelszó kényelmesen megtalálható az e-mailben. Az archívum egy .iso lemezképfájlt tartalmaz, amely egy main.dll fájlt és egy hivatkozási dokumentum.lnk fájlt tartalmaz. A „dokumentum” megnyitásának kísérlete a hasznos teher feltelepüléséhez vezet az áldozat rendszerében, és a main.dll fájlt használja a rendszer kompromittálására.

A támadási láncok fejlődésével a hasonló fenyegetésekkel szembeni biztonság nem csak a robusztus biztonsági protokollon múlik, hanem a személyes tudatosságon és a kritikus emberi hibák elkerülésében is.