網絡釣魚活動中濫用的 MS Exchange 服務器

一項新的活動正在積極傳播IcedID 銀行木馬。這一次，威脅參與者正在使用他們之前入侵的 Microsoft Exchange 服務器來傳播惡意軟件。

該活動正在使用網絡釣魚電子郵件，經過篡改，看起來好像它們來自有效和可信賴的來源，從而確保發送給成功感染的電子郵件的轉換率更高。

黑客嘗試新的規避方法

當前的活動是由安全公司 Intezer 的一組研究人員發現的。從表面上看，該活動背後的黑客似乎並沒有做任何引人注目的創新。較早的網絡釣魚活動依賴於使用以前被盜的電子郵件帳戶來發送網絡釣魚郵件，從而給郵件增加了一種虛假的合法性。

然而，這一次他們增加了新的規避策略，使最終木馬有效載荷成功交付到目標的可能性更大。

黑客正在使用 Microsoft Exchange 郵件服務器發送網絡釣魚郵件以發送惡意電子郵件。然而，當涉及到實際有效載荷時，他們還採用了額外的規避層。

例如，網絡釣魚活動已經將惡意內容隱藏在 MS Office 文件中，而不是將惡意內容放入 Office 文檔中，例如，現在黑客已經轉向使用存檔文件和磁盤映像。這允許他們繞過 MS Office 和 Windows 中的集成保護機制，稱為“網絡標記”或 MOTW。對於從 Web 下載的文件，MOTW 包括特定的預防措施，包括在 Office 應用程序中以受保護的視圖打開文件。

但是，使用存檔文件和 .iso 磁盤映像可以讓黑客繞過這一層保護，因為這些文件類型將被標記為 MOTW，但其中包含的文件可能不會。

用於傳播 IcedID 的網絡釣魚電子郵件使用所謂的“線程劫持” - 使用受害者與受感染帳戶之間的現有通信鏈電子郵件。這增加了誘餌的可信度。

部署有效負載後照常營業

該電子郵件附有一個受密碼保護的存檔文件。密碼方便地位於電子郵件中。該存檔包含一個 .iso 磁盤映像文件，該文件又包含一個 main.dll 文件和一個快捷方式 document.lnk 文件。試圖打開“文檔”會導致有效載荷部署在受害者的系統中，使用 main.dll 文件破壞系統。

隨著攻擊鏈的發展，保持安全免受類似威脅不僅取決於強大的安全協議，還取決於個人意識和避免嚴重的人為錯誤。