Licenties voor meerdere apparaten (volumekortingen)
Computer Security MS Exchange-servers misbruikt in phishing-campagne

MS Exchange-servers misbruikt in phishing-campagne

Tegen Mura in Computer Security
Vertalen naar:
Nederlands

Een nieuwe campagne verspreidt actief de IcedID banking trojan. Deze keer gebruiken bedreigingsactoren Microsoft Exchange-servers die ze eerder hadden gecompromitteerd om de malware te verspreiden.

De campagne maakt gebruik van phishing-e-mails, die zo zijn gemanipuleerd dat het lijkt alsof ze afkomstig zijn van geldige en betrouwbare bronnen, wat zorgt voor een betere conversieratio van e-mails die naar succesvolle infecties worden verzonden.

Hackers proberen nieuwe ontwijkingsmethoden

De huidige campagne is ontdekt door een team van onderzoekers van beveiligingsbedrijf Intezer. Op het eerste gezicht lijkt het erop dat de hackers achter de campagne niets dramatisch innovatiefs doen. Oudere phishing-campagnes vertrouwden op het gebruik van eerder gecompromitteerde e-mailaccounts om de phishing-mail te verzenden, waardoor de berichten een vals gevoel van legitimiteit kregen.

Deze keer hebben ze echter nieuwe ontwijkingstactieken toegevoegd die de succesvolle levering van de ultieme trojan-payload aan het doelwit nog waarschijnlijker maken.

De hackers verzenden de phishing-mail met behulp van Microsoft Exchange-mailservers om de kwaadaardige e-mails te verspreiden. Ze gebruiken echter ook een extra laag ontduiking als het gaat om het daadwerkelijke laadvermogen.

In plaats van de kwaadaardige inhoud in Office-documenten te plaatsen, zoals phishing-campagnes al eeuwen doen, door bijvoorbeeld kwaadaardige macro's in een MS Office-bestand te verbergen, zijn hackers nu overgegaan op het gebruik van archiefbestanden en schijfkopieën. Hierdoor kunnen ze geïntegreerde beschermingsmechanismen in zowel MS Office als Windows omzeilen, genaamd "Mark-of-the-web" of MOTW. MOTW bevat specifieke preventiemaatregelen als het gaat om bestanden die van internet zijn gedownload, inclusief het openen van de bestanden in beveiligde weergave in Office-toepassingen.

Door echter archiefbestanden en .iso-schijfkopieën te gebruiken, kunnen hackers deze beschermingslaag omzeilen, omdat deze bestandstypen worden gemarkeerd met MOTW, maar de bestanden die erin staan mogelijk niet.

De phishing-e-mails die worden gebruikt om IcedID te verspreiden, gebruiken zogenaamde "thread-kaping" - met behulp van een bestaande kettingmail voor communicatie tussen het slachtoffer en het gecompromitteerde account. Dit geeft extra geloofwaardigheid aan het kunstaas.

Business as usual zodra payload is ingezet

De e-mail heeft een bijgevoegd archiefbestand, dat met een wachtwoord is beveiligd. Het wachtwoord staat handig in de e-mail. Het archief bevat een .iso-schijfkopiebestand, dat op zijn beurt een main.dll-bestand en een snelkoppeling document.lnk-bestand bevat. Proberen om het "document" te openen, leidt ertoe dat de payload wordt geïmplementeerd in het systeem van het slachtoffer, waarbij het main.dll-bestand wordt gebruikt om het systeem te compromitteren.

Met de evolutie van aanvalsketens komt het beschermen van soortgelijke bedreigingen niet alleen neer op een robuust beveiligingsprotocol, maar ook op persoonlijk bewustzijn en het vermijden van kritieke menselijke fouten.

Bezig met laden...