Utilisation abusive des serveurs MS Exchange dans une campagne de phishing
Une nouvelle campagne diffuse activement le cheval de Troie bancaire IcedID. Cette fois, les acteurs de la menace utilisent des serveurs Microsoft Exchange qu'ils avaient précédemment compromis pour propager le malware.
La campagne utilise des e-mails de phishing, trafiqués pour donner l'impression qu'ils proviennent de sources valides et dignes de confiance, garantissant un meilleur taux de conversion des e-mails envoyés aux infections réussies.
Les pirates essaient de nouvelles méthodes d'évasion
La campagne actuelle a été découverte par une équipe de chercheurs de la société de sécurité Intezer. À première vue, il semble que les pirates à l'origine de la campagne ne fassent rien de radicalement innovant. Les anciennes campagnes de phishing reposaient sur l'utilisation de comptes de messagerie précédemment compromis pour envoyer le courrier de phishing, ajoutant un faux sentiment de légitimité aux messages.
Cependant, cette fois-ci, ils ont ajouté de nouvelles tactiques d'évasion qui rendent encore plus probable la livraison réussie de la charge utile ultime du cheval de Troie à la cible.
Les pirates envoient le courrier de phishing en utilisant les serveurs de messagerie Microsoft Exchange pour distribuer les e-mails malveillants. Cependant, ils utilisent également une couche supplémentaire d'évasion en ce qui concerne la charge utile réelle.
Au lieu de placer le contenu malveillant dans des documents bureautiques, comme les campagnes de phishing l'ont fait pendant des siècles, en cachant des macros malveillantes dans un fichier MS Office, par exemple, les pirates informatiques sont désormais passés à l'utilisation de fichiers d'archives et d'images disque. Cela leur permet de contourner les mécanismes de protection intégrés dans MS Office et Windows, appelés "Mark-of-the-web" ou MOTW. MOTW inclut des mesures de prévention spécifiques en ce qui concerne les fichiers téléchargés à partir du Web, y compris l'ouverture des fichiers en mode protégé dans les applications Office.
Cependant, l'utilisation de fichiers d'archive et d'images de disque .iso permet aux pirates de contourner cette couche de protection, car ces types de fichiers seront signalés par MOTW, mais les fichiers qu'ils contiennent pourraient ne pas l'être.
Les e-mails de phishing utilisés pour diffuser IcedID utilisent ce qu'on appelle le "détournement de fil" - en utilisant une chaîne de communication existante entre la victime et le compte compromis. Cela donne une crédibilité supplémentaire au leurre.
Business as usual une fois la charge utile déployée
L'e-mail contient un fichier d'archive joint, qui est protégé par un mot de passe. Le mot de passe est idéalement situé dans l'e-mail. L'archive contient un fichier image disque .iso, qui contient à son tour un fichier main.dll et un fichier de raccourci document.lnk. Essayer d'ouvrir le "document" conduit au déploiement de la charge utile dans le système de la victime, en utilisant le fichier main.dll pour compromettre le système.
Avec l'évolution des chaînes d'attaque, rester à l'abri de menaces similaires ne se résume pas seulement à un protocole de sécurité robuste, mais aussi à une prise de conscience personnelle et à la prévention des erreurs humaines critiques.