Strežniki MS Exchange, zlorabljeni v kampanji lažnega predstavljanja

Nova kampanja aktivno širi bančni trojanec IcedID . Tokrat akterji groženj za širjenje zlonamerne programske opreme uporabljajo strežnike Microsoft Exchange, ki so jih predhodno ogrozili.

Kampanja uporablja e-poštna sporočila z lažnim predstavljanjem, zastavljena tako, da izgledajo, kot da izvirajo iz veljavnih in zaupanja vrednih virov, kar zagotavlja boljšo stopnjo konverzije e-poštnih sporočil, poslanih uspešnim okužbam.

Hekerji poskušajo nove metode izogibanja

Trenutno kampanjo je odkrila skupina raziskovalcev varnostnega podjetja Intezer. Na prvi pogled se zdi, da hekerji, ki stojijo za kampanjo, ne delajo nič dramatično inovativnega. Starejše kampanje z lažnim predstavljanjem so se zanašale na uporabo predhodno ogroženih e-poštnih računov za pošiljanje lažne pošte, kar je sporočilom dodajalo lažen občutek legitimnosti.

Vendar so tokrat dodali nove taktike izogibanja, zaradi katerih je uspešna dostava končnega trojanskega tovora do cilja še bolj verjetna.

Hekerji pošiljajo lažno pošto z uporabo poštnih strežnikov Microsoft Exchange, da odstranijo zlonamerna e-poštna sporočila. Vendar pa uporabljajo tudi dodatno plast izogibanja, ko gre za dejansko koristno obremenitev.

Namesto da bi zlonamerno vsebino postavili v pisarniške dokumente, kot so to že stoletja izvajale kampanje z lažnim predstavljanjem, na primer skrijele zlonamerne makre znotraj datoteke MS Office, so zdaj hekerji prešli na uporabo arhivskih datotek in slik diskov. To jim omogoča, da zaobidejo integrirane zaščitne mehanizme v MS Office in Windows, imenovane "Mark-of-the-web" ali MOTW. MOTW vključuje posebne preventivne ukrepe, ko gre za datoteke, prenesene s spleta, vključno z odpiranjem datotek v zaščitenem pogledu v Officeovih aplikacijah.

Vendar pa uporaba arhivskih datotek in slik diskov .iso omogoča hekerjem, da zaobidejo to plast zaščite, saj bodo te vrste datotek označene z MOTW, vendar datoteke v njih morda ne bodo.

E-poštna sporočila z lažnim predstavljanjem, ki se uporabljajo za širjenje IcedID, uporabljajo tako imenovano "ugrabitev niti" - z uporabo obstoječe verižne e-pošte za komunikacijo med žrtev in ogroženim računom. To daje vabi dodatno verodostojnost.

Po namestitvi tovora deluje kot običajno

E-pošta ima priloženo arhivsko datoteko, ki je zaščitena z geslom. Geslo je na priročnem mestu v e-pošti. Arhiv vsebuje sliko diska .iso, ki vsebuje datoteko main.dll in datoteko za bližnjico document.lnk. Poskus odpiranja "dokumenta" vodi do namestitve koristne obremenitve v sistemu žrtve, z uporabo datoteke main.dll za ogrožanje sistema.

Z razvojem napadalnih verig je zaščita pred podobnimi grožnjami povezana ne le z robustnim varnostnim protokolom, temveč tudi z osebno ozaveščenostjo in izogibanjem kritičnim človeškim napakam.