Licenser för flera enheter (volymrabatter)
Computer Security MS Exchange-servrar missbrukas i nätfiskekampanj

MS Exchange-servrar missbrukas i nätfiskekampanj

Med Mura år Computer Security
Översätt till:
Svenska

En ny kampanj sprider aktivt banktrojanen IcedID. Den här gången använder hotaktörer Microsoft Exchange-servrar som de tidigare hade äventyrat för att sprida skadlig programvara.

Kampanjen använder nätfiske-e-postmeddelanden, manipulerade för att se ut som om de kommer från giltiga och pålitliga källor, vilket säkerställer en bättre omvandlingsfrekvens för e-postmeddelanden som skickas till framgångsrika infektioner.

Hackare prövar nya flyktmetoder

Den aktuella kampanjen upptäcktes av ett team av forskare med säkerhetsföretaget Intezer. På ytan verkar det som om hackarna bakom kampanjen inte gör något dramatiskt innovativt. Äldre nätfiskekampanjer förlitade sig på att använda tidigare utsatta e-postkonton för att skicka nätfiskeposten från, vilket gav meddelandena en falsk känsla av legitimitet.

Men den här gången har de lagt till nya undanflyktstaktik som gör en framgångsrik leverans av den ultimata trojanska nyttolasten till målet ännu mer sannolikt.

Hackarna skickar nätfiskeposten med hjälp av Microsoft Exchange-e-postservrar för att diska ut skadliga e-postmeddelanden. Men de använder också ett extra lager av skatteflykt när det kommer till den faktiska nyttolasten.

Istället för att lägga det skadliga innehållet i kontorsdokument, som nätfiskekampanjer har gjort i evigheter, gömma skadliga makron i en MS Office-fil, till exempel, har hackare nu gått vidare till att använda arkivfiler och diskbilder. Detta gör att de kan kringgå integrerade skyddsmekanismer i både MS Office och Windows, kallade "Mark-of-the-web" eller MOTW. MOTW inkluderar specifika förebyggande åtgärder när det gäller filer som laddas ner från webben, inklusive att öppna filerna i skyddad vy i Office-program.

Men genom att använda arkivfiler och .iso-diskavbildningar kan hackare kringgå detta skyddsskikt, eftersom dessa filtyper kommer att flaggas med MOTW, men filerna i dem kanske inte är det.

Nätfiske-e-postmeddelanden som används för att sprida IcedID använder vad som kallas "trådkapning" - med hjälp av en befintlig kedjemail för kommunikation mellan offret och det intrångade kontot. Detta ger extra trovärdighet till lockbetet.

Business as usual när nyttolasten är utplacerad

E-postmeddelandet har en bifogad arkivfil, som är lösenordsskyddad. Lösenordet finns bekvämt i e-postmeddelandet. Arkivet innehåller en .iso diskavbildningsfil, som i sin tur innehåller en main.dll-fil och en genvägsfil document.lnk. Att försöka öppna "dokumentet" leder till att nyttolasten distribueras i offrets system och använder filen main.dll för att äventyra systemet.

Med utvecklingen av attackkedjor beror det inte bara på ett robust säkerhetsprotokoll att skydda sig mot liknande hot utan också på personlig medvetenhet och undvikande av allvarliga mänskliga fel.

Läser in...