Зловживання серверами MS Exchange у фішинговій кампанії

Нова кампанія активно поширює банківський троян IcedID . Цього разу загрози використовують сервери Microsoft Exchange, які вони раніше скомпрометували для поширення шкідливого програмного забезпечення.

У кампанії використовуються фішингові електронні листи, створені так, ніби вони походять із дійсних і надійних джерел, що забезпечує кращий коефіцієнт конверсії листів, надісланих успішно зараженим.

Хакери пробують нові методи ухилення

Нинішню кампанію виявила команда дослідників із охоронної фірми Intezer. На перший погляд здається, що хакери, які стоять за кампанією, не роблять нічого кардинально інноваційного. Старіші фішингові кампанії покладалися на використання раніше зламаних облікових записів електронної пошти для надсилання фішингової пошти, додаючи повідомленням помилкове відчуття легітимності.

Однак цього разу вони додали нову тактику ухилення, яка робить успішну доставку кінцевого корисного трояна до цілі ще більш імовірною.

Хакери надсилають фішингові листи за допомогою поштових серверів Microsoft Exchange, щоб розповсюдити шкідливі листи. Однак вони також використовують додатковий рівень ухилення, коли справа доходить до фактичного корисного навантаження.

Замість того, щоб розміщувати шкідливий вміст в офісних документах, як це робили фішингові кампанії протягом багатьох років, наприклад, приховуючи шкідливі макроси всередині файлу MS Office, тепер хакери перейшли до використання архівних файлів і образів дисків. Це дозволяє їм обійти інтегровані механізми захисту як в MS Office, так і в Windows, які називаються «Mark-of-the-web» або MOTW. MOTW включає спеціальні заходи щодо запобігання файлам, завантаженим з Інтернету, включаючи відкриття файлів у захищеному перегляді в програмах Office.

Однак використання архівних файлів і образів дисків .iso дозволяє хакерам обійти цей рівень захисту, оскільки ці типи файлів будуть позначені MOTW, але файли, що містяться в них, можуть не бути.

У фішингових електронних листах, які використовуються для поширення IcedID, використовується так званий «викрадення потоків» - використання існуючої ланцюгової електронної пошти для зв’язку між жертвою та зламаним обліковим записом. Це надає приманці додаткову довіру.

Звичайна робота після розгортання корисного навантаження

У листі є вкладений архівний файл, захищений паролем. Пароль зручно розташований в електронній пошті. Архів містить файл образу диска .iso, який, у свою чергу, містить файл main.dll і файл ярлика document.lnk. Спроба відкрити «документ» призводить до розгортання корисного навантаження в системі жертви, використовуючи файл main.dll для компрометації системи.

З еволюцією ланцюжків атак захист від подібних загроз зводиться не тільки до надійного протоколу безпеки, але й до особистої обізнаності та уникнення критичних людських помилок.