MS Exchange-Server in Phishing-Kampagne missbraucht

Eine neue Kampagne verbreitet aktiv den Banking-Trojaner IcedID. Diesmal verwenden Angreifer Microsoft Exchange-Server, die sie zuvor kompromittiert hatten, um die Malware zu verbreiten.

Die Kampagne verwendet Phishing-E-Mails, die den Anschein erwecken, als stammten sie aus gültigen und vertrauenswürdigen Quellen, wodurch eine bessere Konversionsrate von E-Mails sichergestellt wird, die an erfolgreiche Infektionen gesendet werden.

Hacker probieren neue Ausweichmethoden aus

Die aktuelle Kampagne wurde von einem Forscherteam der Sicherheitsfirma Intezer entdeckt. Oberflächlich betrachtet scheinen die Hacker hinter der Kampagne nichts dramatisch Innovatives zu tun. Ältere Phishing-Kampagnen stützten sich darauf, zuvor kompromittierte E-Mail-Konten zu verwenden, um die Phishing-Mails zu versenden, und gaben den Nachrichten ein falsches Gefühl der Legitimität.

Dieses Mal haben sie jedoch neue Umgehungstaktiken hinzugefügt, die die erfolgreiche Lieferung der ultimativen Trojaner-Payload an das Ziel noch wahrscheinlicher machen.

Die Hacker senden die Phishing-Mail über Microsoft Exchange-Mailserver, um die bösartigen E-Mails auszuteilen. Sie verwenden jedoch auch eine zusätzliche Umgehungsschicht, wenn es um die tatsächliche Nutzlast geht.

Anstatt den schädlichen Inhalt in Office-Dokumente zu stecken, wie es Phishing-Kampagnen seit Ewigkeiten tun, und bösartige Makros beispielsweise in einer MS Office-Datei zu verstecken, sind Hacker jetzt dazu übergegangen, Archivdateien und Disk-Images zu verwenden. Dadurch können sie sowohl in MS Office als auch in Windows integrierte Schutzmechanismen namens „Mark-of-the-web“ oder MOTW umgehen. MOTW enthält spezifische Präventionsmaßnahmen, wenn es um aus dem Internet heruntergeladene Dateien geht, einschließlich des Öffnens der Dateien in der geschützten Ansicht in Office-Anwendungen.

Die Verwendung von Archivdateien und .iso-Disk-Images ermöglicht es Hackern jedoch, diese Schutzebene zu umgehen, da diese Dateitypen mit MOTW gekennzeichnet werden, die darin enthaltenen Dateien jedoch möglicherweise nicht.

Die Phishing-E-Mails, die zur Verbreitung von IcedID verwendet werden, verwenden das, was als „Thread-Hijacking“ bezeichnet wird – indem eine bestehende Ketten-E-Mail zur Kommunikation zwischen dem Opfer und dem kompromittierten Konto verwendet wird. Dies verleiht dem Köder zusätzliche Glaubwürdigkeit.

Business as usual, sobald die Nutzlast bereitgestellt ist

Die E-Mail hat eine angehängte Archivdatei, die passwortgeschützt ist. Das Passwort befindet sich praktischerweise in der E-Mail. Das Archiv enthält eine .iso-Disk-Image-Datei, die wiederum eine main.dll-Datei und eine Verknüpfungsdatei document.lnk enthält. Der Versuch, das „Dokument“ zu öffnen, führt dazu, dass die Payload im System des Opfers bereitgestellt wird, wobei die Datei main.dll verwendet wird, um das System zu kompromittieren.

Mit der Entwicklung von Angriffsketten hängt der Schutz vor ähnlichen Bedrohungen nicht nur von einem robusten Sicherheitsprotokoll ab, sondern auch von persönlichem Bewusstsein und der Vermeidung kritischer menschlicher Fehler.