MS Exchange-servere misbrukt i phishing-kampanje
En ny kampanje sprer IcedID banktrojanen aktivt. Denne gangen bruker trusselaktører Microsoft Exchange-servere som de tidligere hadde kompromittert for å spre skadelig programvare.
Kampanjen bruker phishing-e-poster, behandlet for å virke som om de stammer fra gyldige og pålitelige kilder, noe som sikrer en bedre konverteringsfrekvens for e-poster sendt til vellykkede infeksjoner.
Hackere prøver nye unndragelsesmetoder
Den nåværende kampanjen ble oppdaget av et team av forskere med sikkerhetsfirmaet Intezer. På overflaten ser det ut til at hackerne bak kampanjen ikke gjør noe dramatisk nyskapende. Eldre phishing-kampanjer var avhengige av å bruke tidligere kompromitterte e-postkontoer for å sende phishing-posten fra, og tilførte en falsk følelse av legitimitet til meldingene.
Denne gangen har de imidlertid lagt til nye unnvikelsestaktikker som gjør en vellykket levering av den ultimate trojanske nyttelasten til målet enda mer sannsynlig.
Hackerne sender phishing-e-post ved hjelp av Microsoft Exchange-e-postservere for å skille ut de ondsinnede e-postene. Imidlertid bruker de også et ekstra lag med unndragelse når det kommer til den faktiske nyttelasten.
I stedet for å legge det ondsinnede innholdet i kontordokumenter, som phishing-kampanjer har gjort i evigheter, for eksempel å skjule ondsinnede makroer inne i en MS Office-fil, har hackere nå gått videre til å bruke arkivfiler og diskbilder. Dette lar dem omgå integrerte beskyttelsesmekanismer i både MS Office og Windows, kalt "Mark-of-the-web" eller MOTW. MOTW inkluderer spesifikke forebyggende tiltak når det kommer til filer lastet ned fra nettet, inkludert åpning av filene i beskyttet visning i Office-applikasjoner.
Ved å bruke arkivfiler og .iso-diskbilder tillater imidlertid hackere å omgå dette beskyttelseslaget, siden disse filtypene vil bli flagget med MOTW, men filene i dem er kanskje ikke det.
Phishing-e-postene som brukes til å spre IcedID bruker det som kalles "thread hijacking" - ved å bruke en eksisterende kjede-e-post for kommunikasjon mellom offeret og den kompromitterte kontoen. Dette gir lokket ekstra troverdighet.
Business as usual når nyttelasten er utplassert
E-posten har en vedlagt arkivfil, som er passordbeskyttet. Passordet er praktisk plassert i e-posten. Arkivet inneholder en .iso diskbildefil, som igjen inneholder en main.dll-fil og en snarvei document.lnk-fil. Å prøve å åpne "dokumentet" fører til at nyttelasten distribueres i offerets system, og bruker main.dll-filen for å kompromittere systemet.
Med utviklingen av angrepskjeder kommer det å være trygg mot lignende trusler ikke bare ned på en robust sikkerhetsprotokoll, men også på personlig bevissthet og å unngå kritiske menneskelige feil.