Serwery MS Exchange wykorzystywane w kampanii phishingowej

Nowa kampania aktywnie rozpowszechnia trojana bankowego IcedID. Tym razem cyberprzestępcy wykorzystują serwery Microsoft Exchange, które wcześniej skompromitowali, w celu rozprzestrzeniania złośliwego oprogramowania.

Kampania wykorzystuje wiadomości phishingowe, sfałszowane tak, aby wyglądały, jakby pochodziły z ważnych i wiarygodnych źródeł, zapewniając lepszy współczynnik konwersji wiadomości e-mail wysyłanych do udanych infekcji.

Hakerzy próbują nowych metod unikania

Obecna kampania została odkryta przez zespół badaczy z firmą Intezer zajmującą się bezpieczeństwem. Na pierwszy rzut oka wydaje się, że hakerzy stojący za kampanią nie robią nic radykalnie innowacyjnego. Starsze kampanie phishingowe polegały na używaniu wcześniej zhakowanych kont e-mail do wysyłania wiadomości phishingowych, nadając wiadomościom fałszywe poczucie legalności.

Jednak tym razem dodali nowe taktyki unikania, które sprawiają, że udane dostarczenie ostatecznego ładunku trojana do celu jest jeszcze bardziej prawdopodobne.

Hakerzy wysyłają pocztę phishingową za pomocą serwerów pocztowych Microsoft Exchange, aby rozsyłać złośliwe wiadomości e-mail. Jednak stosują również dodatkową warstwę uników, jeśli chodzi o rzeczywistą ładowność.

Zamiast umieszczać złośliwą zawartość w dokumentach biurowych, jak na przykład kampanie phishingowe, ukrywając złośliwe makra w pliku MS Office, teraz hakerzy przeszli do korzystania z plików archiwów i obrazów dysków. Pozwala im to ominąć zintegrowane mechanizmy ochrony zarówno w MS Office, jak i Windows, zwane "Mark-of-the-web" lub MOTW. MOTW obejmuje określone środki zapobiegawcze, jeśli chodzi o pliki pobierane z Internetu, w tym otwieranie plików w widoku chronionym w aplikacjach pakietu Office.

Jednak używanie plików archiwów i obrazów dysków .iso pozwala hakerom obejść tę warstwę ochrony, ponieważ te typy plików zostaną oznaczone jako MOTW, ale pliki zawarte w nich mogą nie być.

Wiadomości phishingowe wykorzystywane do rozpowszechniania IcedID wykorzystują tak zwane „przechwytywanie wątków” – wykorzystując istniejącą łańcuszkową wiadomość e-mail do komunikacji między ofiarą a zaatakowanym kontem. To dodaje przynęcie dodatkowej wiarygodności.

Działaj jak zwykle po wdrożeniu ładunku

Do wiadomości e-mail dołączony jest plik archiwum, który jest chroniony hasłem. Hasło jest wygodnie umieszczone w e-mailu. Archiwum zawiera plik obrazu dysku .iso, który z kolei zawiera plik main.dll i plik skrótu document.lnk. Próba otwarcia „dokumentu” prowadzi do wdrożenia ładunku w systemie ofiary, wykorzystując plik main.dll do złamania systemu.

Wraz z ewolucją łańcuchów ataków ochrona przed podobnymi zagrożeniami sprowadza się nie tylko do solidnego protokołu bezpieczeństwa, ale także do świadomości osobistej i unikania krytycznego błędu ludzkiego.