Sukčiavimo kampanijoje piktnaudžiaujama MS Exchange serveriais

Nauja kampanija aktyviai skleidžia IcedID banko trojos arklį . Šį kartą grėsmės veikėjai naudoja „Microsoft Exchange“ serverius, kuriuos anksčiau buvo pažeisti, norėdami platinti kenkėjišką programą.

Kampanijoje naudojami sukčiavimo el. laiškai, kurie atrodo taip, lyg jie būtų kilę iš galiojančių ir patikimų šaltinių, užtikrinant geresnį sėkmingų infekcijų atveju išsiųstų el. laiškų konversijos koeficientą.

Piratai išbando naujus vengimo būdus

Dabartinę kampaniją atrado tyrėjų komanda su saugos firma Intezer. Iš pažiūros atrodo, kad kampanijos įsilaužėliai nedaro nieko labai naujoviško. Senesnėse sukčiavimo kampanijose buvo naudojamos anksčiau pažeistos el. pašto paskyros, iš kurių buvo siunčiami sukčiavimo laiškai, todėl pranešimai buvo klaidingi teisėtumo jausmu.

Tačiau šį kartą jie pridėjo naujų vengimo taktikos, dėl kurių dar labiau tikėtina, kad didžiausias Trojos arklys bus pristatytas į tikslą.

Įsilaužėliai siunčia sukčiavimo laiškus naudodami Microsoft Exchange pašto serverius, kad pašalintų kenkėjiškus el. Tačiau jie taip pat naudoja papildomą vengimo lygį, kai kalbama apie tikrąją naudingąją apkrovą.

Užuot įtraukę kenkėjišką turinį į biuro dokumentus, kaip nuo seno buvo daromos sukčiavimo kampanijos, slepiant kenkėjiškas makrokomandas, pavyzdžiui, MS Office faile, dabar įsilaužėliai pradėjo naudoti archyvo failus ir disko vaizdus. Tai leidžia jiems apeiti integruotus apsaugos mechanizmus tiek „MS Office“, tiek „Windows“, vadinamus „žiniatinklio ženklu“ arba MOTW. MOTW apima specialias prevencijos priemones, susijusias su failais, atsisiunčiamais iš interneto, įskaitant failų atidarymą apsaugotame rodinyje „Office“ programose.

Tačiau naudojant archyvinius failus ir .iso disko vaizdus, įsilaužėliai gali apeiti šį apsaugos sluoksnį, nes tie failų tipai bus pažymėti MOTW, tačiau juose esantys failai gali nebūti.

Sukčiavimo el. laiškai, naudojami IcedID platinti, naudoja vadinamąjį „gijos užgrobimą“ – naudojant esamą grandininį el. paštą, kuriuo aukos ir pažeistos paskyros ryšys palaikomas. Tai suteikia jaukams papildomo patikimumo.

Veikla kaip įprasta, kai bus panaudotas krovinys

Laiškas turi prisegtą archyvo failą, kuris yra apsaugotas slaptažodžiu. Slaptažodis patogiai yra el. Archyve yra .iso disko vaizdo failas, kuriame savo ruožtu yra main.dll failas ir nuorodos document.lnk failas. Bandant atidaryti „dokumentą“, naudingoji apkrova perkeliama į aukos sistemą, naudojant main.dll failą, kad pakenktų sistemai.

Tobulėjant atakų grandinėms, apsisaugoti nuo panašių grėsmių lemia ne tik patikimas saugos protokolas, bet ir asmeninis sąmoningumas bei kritinių žmogiškųjų klaidų išvengimas.