Серверы MS Exchange используются в фишинговой кампании

Новая кампания активно распространяет банковский троян IcedID . На этот раз злоумышленники используют серверы Microsoft Exchange, которые они ранее скомпрометировали, для распространения вредоносного ПО.

Кампания использует фишинговые электронные письма, обработанные таким образом, чтобы они выглядели так, как будто они исходят из действительных и заслуживающих доверия источников, что обеспечивает более высокий коэффициент конверсии электронных писем, отправленных для успешного заражения.

Хакеры пробуют новые методы обхода

Нынешняя кампания была обнаружена группой исследователей из охранной фирмы Intezer. На первый взгляд кажется, что хакеры, стоящие за этой кампанией, не делают ничего радикально инновационного. Старые фишинговые кампании основывались на использовании ранее скомпрометированных учетных записей электронной почты для отправки фишинговой почты, что придавало сообщениям ложное ощущение легитимности.

Однако на этот раз они добавили новую тактику уклонения, которая делает успешную доставку конечной троянской полезной нагрузки к цели еще более вероятной.

Хакеры рассылают фишинговую почту, используя почтовые серверы Microsoft Exchange, для распространения вредоносных писем. Тем не менее, они также используют дополнительный уровень уклонения, когда дело доходит до фактической полезной нагрузки.

Вместо того, чтобы размещать вредоносный контент в офисных документах, как это делали фишинговые кампании на протяжении веков, например, скрывая вредоносные макросы внутри файла MS Office, теперь хакеры перешли к использованию архивных файлов и образов дисков. Это позволяет им обходить встроенные механизмы защиты как в MS Office, так и в Windows, называемые «Mark-of-the-web» или MOTW. MOTW включает в себя специальные меры предотвращения, когда речь идет о файлах, загруженных из Интернета, включая открытие файлов в защищенном режиме в приложениях Office.

Однако использование архивных файлов и образов дисков .iso позволяет хакерам обойти этот уровень защиты, поскольку эти типы файлов будут помечены MOTW, а файлы, содержащиеся в них, могут быть нет.

Фишинговые электронные письма, используемые для распространения IcedID, используют так называемый «перехват потока» — используя существующую цепочку сообщений электронной почты для связи между жертвой и скомпрометированной учетной записью. Это придает дополнительную достоверность приманке.

Работа в обычном режиме после развертывания полезной нагрузки

К письму прикреплен архивный файл, защищенный паролем. Пароль удобно расположен в письме. Архив содержит файл образа диска .iso, который, в свою очередь, содержит файл main.dll и файл ярлыка document.lnk. Попытка открыть «документ» приводит к развертыванию полезной нагрузки в системе жертвы с использованием файла main.dll для компрометации системы.

С развитием цепочек атак защита от подобных угроз сводится не только к надежному протоколу безопасности, но и к личной осведомленности и предотвращению критических человеческих ошибок.