Shpërdorimi i serverëve MS Exchange në një fushatë phishing

Një fushatë e re po përhap në mënyrë aktive trojanin bankar IcedID . Këtë herë, aktorët e kërcënimit po përdorin serverët e Microsoft Exchange që ata i kishin komprometuar më parë për të përhapur malware.

Fushata po përdor emaile phishing, të modifikuara për t'u dukur sikur vijnë nga burime të vlefshme dhe të besueshme, duke siguruar një normë më të mirë konvertimi të emaileve të dërguara në infeksione të suksesshme.

Hakerët provojnë metoda të reja evazioni

Fushata aktuale u zbulua nga një ekip studiuesish me firmën e sigurisë Intezer. Në sipërfaqe, duket se hakerat që qëndrojnë pas fushatës nuk po bëjnë asgjë në mënyrë dramatike inovative. Fushatat e vjetra të phishing u mbështetën në përdorimin e llogarive të postës elektronike të komprometuara më parë për të dërguar postën e phishing, duke shtuar një ndjenjë të rreme legjitimiteti në mesazhe.

Megjithatë, këtë herë ata kanë shtuar taktika të reja evazioni që e bëjnë edhe më të mundshëm dërgimin e suksesshëm të ngarkesës përfundimtare të trojanit në objektiv.

Hakerët po dërgojnë postën e phishing duke përdorur serverët e postës së Microsoft Exchange për të shpërndarë emailet me qëllim të keq. Sidoqoftë, ata po përdorin gjithashtu një shtresë shtesë evazioni kur bëhet fjalë për ngarkesën aktuale.

Në vend që të vendosnin përmbajtjen me qëllim të keq në dokumentet e zyrës, siç kanë bërë fushatat e phishing për shekuj me radhë, duke fshehur makrot e dëmshme brenda një skedari MS Office, për shembull, tani hakerët kanë kaluar në përdorimin e skedarëve arkivorë dhe imazheve të diskut. Kjo u lejon atyre të anashkalojnë mekanizmat e integruar të mbrojtjes si në MS Office ashtu edhe në Windows, të quajtur "Mark-of-the-web" ose MOTW. MOTW përfshin masa specifike parandaluese kur bëhet fjalë për skedarët e shkarkuar nga ueb, duke përfshirë hapjen e skedarëve në pamje të mbrojtur në aplikacionet e Office.

Megjithatë, përdorimi i skedarëve të arkivit dhe imazheve të diskut .iso i lejon hakerat të anashkalojnë këtë shtresë mbrojtjeje, pasi ato lloje skedarësh do të shënohen me MOTW, por skedarët që përmbahen brenda tyre mund të mos jenë.

Emailet e phishing të përdorura për të përhapur IcedID përdorin atë që quhet "rrëmbim fijesh" - duke përdorur një email zinxhir ekzistues të komunikimit midis viktimës dhe llogarisë së komprometuar. Kjo i jep besueshmëri shtesë joshjes.

Biznesi si zakonisht sapo të vendoset ngarkesa

Email-i ka një skedar arkivi të bashkangjitur, i cili është i mbrojtur me fjalëkalim. Fjalëkalimi ndodhet në mënyrë të përshtatshme në email. Arkivi përmban një skedar imazhi të diskut .iso, i cili nga ana tjetër përmban një skedar main.dll dhe një skedar shkurtore document.lnk. Përpjekja për të hapur "dokumentin" çon në vendosjen e ngarkesës në sistemin e viktimës, duke përdorur skedarin main.dll për të komprometuar sistemin.

Me evolucionin e zinxhirëve të sulmit, të qenit i sigurt nga kërcënime të ngjashme vjen jo vetëm në një protokoll të fortë sigurie, por edhe në ndërgjegjësimin personal dhe shmangien e gabimeve kritike njerëzore.