Servidores MS Exchange Abusados em Campanha de Phishing
Uma nova campanha está divulgando ativamente o Trojan bancário IcedID. Desta vez, os agentes de ameaças estão usando servidores do Microsoft Exchange que haviam comprometido anteriormente para espalhar o malware.
A campanha está usando e-mails de phishing, manipulados para parecerem originários de fontes válidas e confiáveis, garantindo uma melhor taxa de conversão de e-mails enviados para infecções bem-sucedidas.
Os Hackers estão Tentando Novos Métodos de Evasão
A campanha atual foi descoberta por uma equipe de pesquisadores da empresa de segurança Intezer. Na superfície, parece que os hackers por trás da campanha não estão fazendo nada dramaticamente inovador. Campanhas de phishing mais antigas dependiam do uso de contas de e-mail previamente comprometidas para enviar o e-mail de phishing, adicionando uma falsa sensação de legitimidade às mensagens.
No entanto, desta vez, eles adicionaram novas táticas de evasão que tornam ainda mais provável a entrega bem-sucedida da carga útil do Trojan ao alvo.
Os hackers estão enviando o e-mail de phishing usando os servidores de e-mail do Microsoft Exchange para distribuir os e-mails maliciosos. No entanto, eles também estão empregando uma camada extra de evasão quando se trata da carga útil real.
Em vez de colocar o conteúdo malicioso em documentos de escritório, tal como as campanhas de phishing têm feito há muito tempo, escondendo macros maliciosas dentro de um arquivo do MS Office, por exemplo, agora os hackers passaram a usar arquivos e imagens de disco. Isso permite que eles ignorem os mecanismos de proteção integrados no MS Office e no Windows, chamados de "Mark-of-the-web" ou MOTW. O MOTW inclui medidas de prevenção específicas quando se trata de arquivos baixados da Web, incluindo a abertura dos arquivos em exibição protegida em aplicativos do Office.
No entanto, o uso de arquivos compactados e imagens de disco .iso permite que os hackers contornem essa camada de proteção, pois esses tipos de arquivo serão sinalizados como MOTW, mas os arquivos contidos neles podem não ser.
Os e-mails de phishing usados para espalhar o IcedID usam o que é chamado de "sequestro de thread" - usando um e-mail existente em cadeia de comunicação entre a vítima e a conta comprometida. Isso dá credibilidade extra à isca.
Negócios como de Costume quando a Carga Útil é Implantada
O e-mail tem um arquivo anexado, que é protegido por senha. A senha está convenientemente localizada no e-mail. O arquivo contém um arquivo de imagem de disco .iso, que por sua vez contém um arquivo main.dll e um arquivo de atalho document.lnk. Tentar abrir o "documento" leva à implantação da carga útil no sistema da vítima, usando o arquivo main.dll para comprometer o sistema.
Com a evolução das cadeias de ataque, manter-se seguro contra ameaças semelhantes se resume não apenas a um protocolo de segurança robusto, mas também à conscientização pessoal e à prevenção de erros humanos críticos.