网络钓鱼活动中滥用的 MS Exchange 服务器

一项新的活动正在积极传播IcedID 银行木马。这一次，威胁参与者正在使用他们之前入侵的 Microsoft Exchange 服务器来传播恶意软件。

该活动正在使用网络钓鱼电子邮件，经过篡改，看起来好像它们来自有效和可信赖的来源，从而确保发送给成功感染的电子邮件的转换率更高。

黑客尝试新的规避方法

当前的活动是由安全公司 Intezer 的一组研究人员发现的。从表面上看，该活动背后的黑客似乎并没有做任何引人注目的创新。较早的网络钓鱼活动依赖于使用以前被盗的电子邮件帐户来发送网络钓鱼邮件，从而给邮件增加了一种虚假的合法性。

然而，这一次他们增加了新的规避策略，使最终木马有效载荷成功交付到目标的可能性更大。

黑客正在使用 Microsoft Exchange 邮件服务器发送网络钓鱼邮件以发送恶意电子邮件。然而，当涉及到实际有效载荷时，他们还采用了额外的规避层。

例如，网络钓鱼活动已经将恶意内容隐藏在 MS Office 文件中，而不是将恶意内容放入 Office 文档中，例如，现在黑客已经转向使用存档文件和磁盘映像。这允许他们绕过 MS Office 和 Windows 中的集成保护机制，称为“网络标记”或 MOTW。对于从 Web 下载的文件，MOTW 包括特定的预防措施，包括在 Office 应用程序中以受保护的视图打开文件。

但是，使用存档文件和 .iso 磁盘映像可以让黑客绕过这一层保护，因为这些文件类型将被标记为 MOTW，但其中包含的文件可能不会。

用于传播 IcedID 的网络钓鱼电子邮件使用所谓的“线程劫持” - 使用受害者与受感染帐户之间的现有通信链电子邮件。这增加了诱饵的可信度。

部署有效负载后照常营业

该电子邮件附有一个受密码保护的存档文件。密码方便地位于电子邮件中。该存档包含一个 .iso 磁盘映像文件，该文件又包含一个 main.dll 文件和一个快捷方式 document.lnk 文件。试图打开“文档”会导致有效载荷部署在受害者的系统中，使用 main.dll 文件破坏系统。

随着攻击链的发展，保持安全免受类似威胁不仅取决于强大的安全协议，还取决于个人意识和避免严重的人为错误。