0
0
Um ator de ameaças está explorando servidores vulneráveis no Pré-Microsoft Exchange e usando threads de e-mail sequestrados para entregar o trojan IceID (BokBot) sem ativar soluções de segurança de e-mail.
“A carga também se afastou do uso de documentos de escritório para o uso de arquivos ISO com um arquivo LNK do Windows e um arquivo DLL. O uso de arquivos ISO permite que o ator de ameaças contorne os controles da Marca da Web, resultando na execução do malware sem aviso ao usuário”, observaram os pesquisadores do Intezer Joakim Kennedy e Ryan Robinson.
Como o ataque se desenrola
O ator de ameaças – acredita-se ser um corretor de acesso inicial – compromete servidores vulneráveis no Prem Microsoft Exchange e contas de e-mail existentes, em seguida, sequestra threads de e-mail respondendo-os.
“A cadeia de ataque começa com um e-mail de phishing. O e-mail inclui uma mensagem sobre algum documento importante e tem um arquivo de arquivo ‘zip’ protegido por senha anexado. A senha do arquivo é dada no corpo de e-mail”, explicaram os pesquisadores.
O arquivo ZIP contém um arquivo ISO, que contém um arquivo LNK chamado “documento” e um arquivo DLL chamado “principal”. Quando o destinatário clica duas vezes no primeiro, o segundo busca a carga icedID, que é decodificada, colocada na memória e executada.
O trojan imgrafia a máquina e compartilha essas informações com o servidor C2, e então aguarda por instruções adicionais. “O C2 não respondeu com uma carga durante nossa análise”, concluíram.
Segmentos de e-mail sequestrados: uma nova abordagem (relativamente)
Descoberta em meados de março, esta campanha específica de entrega de malware tem como alvo organizações dos setores de energia, saúde, direito e farmacêutica. Pesquisadores da Fortinet revelaram que um dos alvos é/era uma empresa de combustível em Kyiv, Ucrânia.
O ator de ameaças está usando uma variedade de técnicas para tornar a vida de equipes de segurança e analistas de malware mais difíceis: métodos de implantação incomuns (arquivo ISO com zíper), código de isca no DLL, carga criptografada, etc.
Sequestrar conversas existentes por e-mail para espalhar malware não é uma técnica nova, mas os atores de ameaças estão refinando-as.
“Em vez de enviar a conversa roubada para a vítima com um endereço de e-mail ‘falsificado’, os atores de ameaças agora estão usando o endereço de e-mail da vítima de que roubaram o e-mail original para tornar o e-mail de phishing ainda mais convincente”, explicaram os pesquisadores da Intezer.
A mesma técnica foi vista sendo usada em novembro de 2021 por atores de ameaça que entregam o trojan Qakbot. O pesquisador de segurança Kevin Beaumont e a Equipe Cryptolaemus descobriram que alguns dos servidores comprometidos do Microsoft Exchange que enviam os e-mails foram postados através de vulnerabilidades ProxyShell ou ProxyLogon.
Os servidores on-prem do Microsoft Exchange de suas organizações foram comprometidos e estão sendo usados para fornecer malware? Se você não corrigiu essas vulnerabilidades rapidamente – ou em tudo – há uma chance de que elas estejam sendo aproveitadas por esses e outros atacantes.
“A maioria dos servidores de Exchange originários que observamos parecem também não ser reparados e expostos publicamente, tornando o vetor ProxyShell uma boa teoria. Embora a maioria dos servidores do Exchange usados para enviar os e-mails de phishing possam ser acessados por qualquer pessoa pela Internet, também vimos um e-mail de phishing enviado internamente no que parece ser um servidor de exchange ‘interno'”, apontaram os pesquisadores do Intezer.
FONTE: HELPNET SECURITY