เซิร์ฟเวอร์ MS Exchange ถูกใช้ในทางที่ผิดในแคมเปญฟิชชิ่ง
แคมเปญใหม่กำลังแพร่กระจาย โทรจันธนาคาร IcedID อย่างแข็งขัน คราวนี้ ผู้คุกคามกำลังใช้เซิร์ฟเวอร์ Microsoft Exchange ที่พวกเขาเคยบุกรุกเพื่อแพร่กระจายมัลแวร์
แคมเปญนี้ใช้อีเมลฟิชชิ่ง ซึ่งได้รับการปรับแต่งให้ดูเหมือนมาจากแหล่งที่ถูกต้องและน่าเชื่อถือ ทำให้มั่นใจได้ว่าอัตราการแปลงอีเมลที่ส่งไปยังการติดไวรัสที่ประสบความสำเร็จจะดีขึ้น
แฮกเกอร์ลองใช้วิธีการหลบเลี่ยงแบบใหม่
แคมเปญปัจจุบันถูกค้นพบโดยทีมนักวิจัยของ Intezer บริษัทรักษาความปลอดภัย ดูเหมือนว่าแฮ็กเกอร์ที่อยู่เบื้องหลังแคมเปญไม่ได้ทำอะไรที่เป็นนวัตกรรมอย่างมาก แคมเปญฟิชชิ่งที่เก่ากว่านั้นอาศัยการใช้บัญชีอีเมลที่ถูกบุกรุกก่อนหน้านี้เพื่อส่งอีเมลฟิชชิ่ง ซึ่งทำให้ข้อความเหล่านั้นเข้าใจผิด
อย่างไรก็ตาม คราวนี้พวกเขาได้เพิ่มกลยุทธ์การหลบเลี่ยงใหม่ที่ทำให้การส่ง โทรจันขั้นสุดท้าย ไปยังเป้าหมายได้สำเร็จมีโอกาสมากขึ้น
แฮกเกอร์กำลังส่งอีเมลฟิชชิ่งโดยใช้เซิร์ฟเวอร์อีเมล Microsoft Exchange เพื่อกำจัดอีเมลที่เป็นอันตราย อย่างไรก็ตาม พวกเขายังใช้การหลบเลี่ยงอีกชั้นหนึ่งเมื่อพูดถึงน้ำหนักบรรทุกจริง
แทนที่จะใส่เนื้อหาที่เป็นอันตรายในเอกสารสำนักงาน เช่น แคมเปญฟิชชิ่งที่ทำมาเป็นเวลานาน การซ่อนมาโครที่เป็นอันตรายในไฟล์ MS Office ในตอนนี้ แฮกเกอร์ได้เปลี่ยนไปใช้ไฟล์เก็บถาวรและดิสก์อิมเมจ ซึ่งช่วยให้ข้ามกลไกการป้องกันแบบบูรณาการทั้งใน MS Office และ Windows ที่เรียกว่า "Mark-of-the-web" หรือ MOTW MOTW มีมาตรการป้องกันเฉพาะสำหรับไฟล์ที่ดาวน์โหลดจากเว็บ รวมถึงการเปิดไฟล์ในมุมมองที่ได้รับการป้องกันในแอปพลิเคชัน Office
อย่างไรก็ตาม การใช้ไฟล์เก็บถาวรและอิมเมจของดิสก์ .iso ช่วยให้แฮกเกอร์สามารถหลีกเลี่ยงชั้นการป้องกันนี้ได้ เนื่องจากไฟล์ประเภทเหล่านั้นจะถูกตั้งค่าสถานะด้วย MOTW แต่ไฟล์ที่อยู่ภายในนั้นอาจไม่ใช่ไฟล์เหล่านั้น
อีเมลฟิชชิ่งที่ใช้ในการเผยแพร่ IcedID ใช้สิ่งที่เรียกว่า "การจี้เธรด" โดยใช้อีเมลลูกโซ่ที่มีอยู่ของการสื่อสารระหว่างเหยื่อและบัญชีที่ถูกบุกรุก สิ่งนี้ให้ความน่าเชื่อถือเป็นพิเศษแก่เหยื่อ
ธุรกิจตามปกติเมื่อมีการปรับใช้เพย์โหลด
อีเมลมีไฟล์เก็บถาวรที่แนบมาซึ่งมีการป้องกันด้วยรหัสผ่าน รหัสผ่านอยู่ในอีเมลที่สะดวก ไฟล์เก็บถาวรมีไฟล์อิมเมจดิสก์ .iso ซึ่งจะมีไฟล์ main.dll และไฟล์ช็อตคัท document.lnk การพยายามเปิด "เอกสาร" จะนำไปสู่การปรับใช้ payload ในระบบของเหยื่อ โดยใช้ไฟล์ main.dll เพื่อประนีประนอมกับระบบ
ด้วยวิวัฒนาการของห่วงโซ่การโจมตี การรักษาความปลอดภัยจากภัยคุกคามที่คล้ายคลึงกันไม่ได้ลดลงแค่โปรโตคอลความปลอดภัยที่แข็งแกร่งเท่านั้น แต่ยังรวมถึงการตระหนักรู้ส่วนบุคคลและการหลีกเลี่ยงข้อผิดพลาดร้ายแรงของมนุษย์