Server MS Exchange abusati nella campagna di phishing

Una nuova campagna sta diffondendo attivamente il trojan bancario IcedID. Questa volta, gli attori delle minacce utilizzano i server Microsoft Exchange che avevano precedentemente compromesso per diffondere il malware.

La campagna utilizza e-mail di phishing, falsificate in modo che appaiano come se provenissero da fonti valide e affidabili, garantendo un migliore tasso di conversione delle e-mail inviate a infezioni riuscite.

Gli hacker provano nuovi metodi di evasione

L'attuale campagna è stata scoperta da un team di ricercatori della società di sicurezza Intezer. In superficie, sembra che gli hacker dietro la campagna non stiano facendo nulla di drammaticamente innovativo. Le vecchie campagne di phishing si basavano sull'utilizzo di account e-mail precedentemente compromessi da cui inviare la posta di phishing, aggiungendo un falso senso di legittimità ai messaggi.

Tuttavia, questa volta hanno aggiunto nuove tattiche di evasione che rendono ancora più probabile la consegna riuscita del payload definitivo del trojan al bersaglio.

Gli hacker stanno inviando la posta di phishing utilizzando i server di posta di Microsoft Exchange per distribuire le email dannose. Tuttavia, stanno anche impiegando un ulteriore livello di evasione quando si tratta del carico utile effettivo.

Invece di inserire il contenuto dannoso nei documenti di Office, come hanno fatto per anni le campagne di phishing, nascondendo ad esempio macro dannose all'interno di un file MS Office, ora gli hacker sono passati all'utilizzo di file di archivio e immagini del disco. Ciò consente loro di aggirare i meccanismi di protezione integrati sia in MS Office che in Windows, chiamati "Mark-of-the-web" o MOTW. MOTW include misure di prevenzione specifiche quando si tratta di file scaricati dal Web, inclusa l'apertura dei file in visualizzazione protetta nelle applicazioni di Office.

Tuttavia, l'utilizzo di file di archivio e immagini disco .iso consente agli hacker di aggirare questo livello di protezione, poiché quei tipi di file verranno contrassegnati con MOTW, ma i file in essi contenuti potrebbero non esserlo.

Le e-mail di phishing utilizzate per diffondere IcedID utilizzano quello che viene chiamato "thread hijacking", utilizzando un'e-mail a catena esistente di comunicazione tra la vittima e l'account compromesso. Questo conferisce ulteriore credibilità all'esca.

Come al solito una volta distribuito il carico utile

L'e-mail ha un file di archivio allegato, che è protetto da password. La password si trova comodamente nell'e-mail. L'archivio contiene un file di immagine del disco .iso, che a sua volta contiene un file main.dll e un file di collegamento document.lnk. Il tentativo di aprire il "documento" porta alla distribuzione del carico utile nel sistema della vittima, utilizzando il file main.dll per compromettere il sistema.

Con l'evoluzione delle catene di attacco, rimanere al sicuro da minacce simili non si riduce solo a un solido protocollo di sicurezza, ma anche alla consapevolezza personale ed evitare errori umani critici.