Se detectó una nueva campaña de phishing por correo electrónico que aprovecha la táctica del secuestro de conversaciones para enviar el malware de robo de información IcedID a las máquinas infectadas mediante el uso de servidores de Microsoft Exchange sin parches y expuestos públicamente.
“Los correos electrónicos utilizan una técnica de ingeniería social de secuestro de conversaciones (también conocido como secuestro de hilos)”, dijo la empresa israelí Intezer en un informe compartido con The Hacker News. «Se está utilizando una respuesta falsificada a un correo electrónico robado anterior como una forma de convencer al destinatario de que abra el archivo adjunto. Esto es notable porque aumenta la credibilidad del correo electrónico de phishing y puede causar una alta tasa de infección».
Se dice que la última ola de ataques, detectada a mediados de marzo de 2022, se dirigió a organizaciones dentro de los sectores de energía, salud, derecho y farmacéutico.
IcedID, también conocido como BokBot, al igual que sus contrapartes TrickBot y Emotet , es un troyano bancario que ha evolucionado para convertirse en un punto de entrada para amenazas más sofisticadas, incluido el ransomware operado por humanos y la herramienta de simulación adversaria Cobalt Strike .
Es capaz de conectarse a un servidor remoto y descargar implantes y herramientas de próxima etapa que permiten a los atacantes realizar actividades de seguimiento y moverse lateralmente a través de las redes afectadas para distribuir malware adicional.
En junio de 2021, la empresa de seguridad empresarial Proofpoint reveló una táctica en evolución en el panorama del delito cibernético en la que se observó a los corredores de acceso inicial infiltrarse en las redes objetivo a través de cargas útiles de malware de primera etapa como IcedID para implementar cargas útiles de ransomware Egregor, Maze y REvil.
Si bien las campañas anteriores de IcedID aprovecharon los formularios de contacto del sitio web para enviar enlaces con malware a las organizaciones, la versión actual del ataque se basa en servidores vulnerables de Microsoft Exchange para enviar correos electrónicos atractivos desde una cuenta secuestrada, lo que indica una mayor evolución de la ingeniería social. esquema.
«La carga útil también se ha alejado del uso de documentos de Office al uso de archivos ISO con un archivo LNK de Windows y un archivo DLL», dijeron los investigadores Joakim Kennedy y Ryan Robinson. «El uso de archivos ISO permite que el actor de amenazas eluda los controles de Mark-of-the-Web , lo que da como resultado la ejecución del malware sin advertir al usuario».
La idea es enviar respuestas fraudulentas a un hilo de correo electrónico ya existente saqueado de la cuenta de la víctima mediante el uso de la dirección de correo electrónico de la persona comprometida para que los correos electrónicos de phishing parezcan más legítimos.
«El uso del secuestro de conversaciones es una poderosa técnica de ingeniería social que puede aumentar la tasa de un intento de phishing exitoso», concluyeron los investigadores. «Al usar este enfoque, el correo electrónico parece más legítimo y se transporta a través de los canales normales que también pueden incluir productos de seguridad».
