Servidores MS Exchange abusados en campaña de phishing
Una nueva campaña está difundiendo activamente el troyano bancario IcedID. Esta vez, los actores de amenazas están utilizando servidores de Microsoft Exchange que previamente habían comprometido para propagar el malware.
La campaña utiliza correos electrónicos de phishing, manipulados para que parezcan provenir de fuentes válidas y confiables, lo que garantiza una mejor tasa de conversión de los correos electrónicos enviados a infecciones exitosas.
Los piratas informáticos prueban nuevos métodos de evasión
La campaña actual fue descubierta por un equipo de investigadores de la firma de seguridad Intezer. En la superficie, parece que los piratas informáticos detrás de la campaña no están haciendo nada radicalmente innovador. Las campañas de phishing más antiguas se basaban en el uso de cuentas de correo electrónico previamente comprometidas para enviar el correo de phishing, lo que agregaba una falsa sensación de legitimidad a los mensajes.
Sin embargo, esta vez han agregado nuevas tácticas de evasión que hacen que la entrega exitosa de la última carga troyana al objetivo sea aún más probable.
Los piratas informáticos envían el correo de phishing utilizando los servidores de correo de Microsoft Exchange para distribuir los correos electrónicos maliciosos. Sin embargo, también están empleando una capa adicional de evasión cuando se trata de la carga útil real.
En lugar de colocar el contenido malicioso en documentos de Office, como lo han hecho las campañas de phishing durante años, ocultando macros maliciosas dentro de un archivo de MS Office, por ejemplo, ahora los piratas informáticos han pasado a usar archivos de almacenamiento e imágenes de disco. Esto les permite eludir los mecanismos de protección integrados tanto en MS Office como en Windows, llamados "Mark-of-the-web" o MOTW. MOTW incluye medidas de prevención específicas cuando se trata de archivos descargados de la web, incluida la apertura de los archivos en vista protegida en las aplicaciones de Office.
Sin embargo, el uso de archivos de almacenamiento e imágenes de disco .iso permite a los piratas eludir esta capa de protección, ya que esos tipos de archivos se marcarán con MOTW, pero es posible que los archivos que contienen no lo estén.
Los correos electrónicos de phishing utilizados para difundir IcedID utilizan lo que se denomina "secuestro de subprocesos", utilizando una cadena de correo electrónico existente de comunicación entre la víctima y la cuenta comprometida. Esto le da más credibilidad al señuelo.
Negocios como de costumbre una vez que se implementa la carga útil
El correo electrónico tiene un archivo adjunto, que está protegido con contraseña. La contraseña se encuentra convenientemente en el correo electrónico. El archivo contiene un archivo de imagen de disco .iso, que a su vez contiene un archivo main.dll y un archivo de acceso directo document.lnk. Intentar abrir el "documento" conduce a la implementación de la carga útil en el sistema de la víctima, utilizando el archivo main.dll para comprometer el sistema.
Con la evolución de las cadenas de ataque, mantenerse a salvo de amenazas similares se reduce no solo a un protocolo de seguridad sólido, sino también a la conciencia personal y a evitar errores humanos críticos.