Les cybercriminels utilisent des serveurs Microsoft Exchange compromis pour spammer des e-mails conçus pour infecter les PC des gens avec IcedID, IcedID est une mauvaise nouvelle car si vous êtes trompé pour l’exécuter, il ouvre une porte dérobée permettant d’injecter d’autres logiciels malveillants, tels que des rançongiciels. dans votre système. Les marques reçoivent généralement un fichier.zip crypté en pièce jointe, avec le mot de passe dans le texte de l’e-mail et des instructions pour ouvrir le contenu de l’archive. Cela démarre un téléchargeur qui déploie IcedID sur l’ordinateur. IcedID lui-même n’est pas nouveau. Les chasseurs de menaces X-Force d’IBM ont déclaré avoir découvert le logiciel Windows méchant en 2017, alors qu’il était principalement conçu pour voler les informations d’identification bancaires en ligne des victimes. Il est apparu l’année dernière lorsque des escrocs ont piraté un domaine BP Chargemaster pour spammer des e-mails afin de diffuser IcedID. Lundi, FortiGuard Labs de Fortinet a déclaré avoir observé un e-mail envoyé à une compagnie pétrolière ukrainienne avec un.zip contenant un fichier qui, une fois ouvert, dépose IcedID sur le PC. Le fournisseur de sécurité Intezer a également déclaré lundi avoir vu des serveurs Microsoft Exchange non sécurisés spammer des e-mails IcedID. L’équipe a déclaré avoir découvert la campagne à la mi-mars et a déclaré qu’elle ciblait les organisations de l’énergie, de la santé, du droit et de la pharmacie. On nous dit que les serveurs n’ont pas été tenus à jour avec les correctifs de sécurité, ce qui permet aux malfaiteurs d’exploiter, par exemple, la famille de vulnérabilités ProxyShell pour prendre le contrôle des installations et envoyer des spams malveillants. « La majorité des serveurs Exchange d’origine que nous avons observés semblent également être non corrigés et exposés publiquement, ce qui fait du vecteur ProxyShell une bonne théorie », ont écrit Joakim Kennedy et Ryan Robinson d’Intezer. « Alors que la majorité des serveurs Exchange utilisés pour envoyer les e-mails de phishing sont accessibles par n’importe qui sur Internet, nous avons également vu un e-mail de phishing envoyé en interne sur ce qui semble être un serveur Exchange » interne « . »
Comment ça fonctionneL’attaque commence par un e-mail de phishing qui inclut un message concernant un document important dans une archive.zip jointe protégée par un mot de passe, et le code d’accès dans le texte du corps de l’e-mail. Cela est généralement nécessaire pour empêcher les scanners automatisés de voir à l’intérieur du.zip. De plus, les malfaiteurs utilisent la conversation ou le détournement de fil pour rendre l’e-mail plus convaincant. Cela implique de regarder en arrière dans les chaînes de messagerie sur le serveur et de forger une réponse à une marque, leur faisant croire que c’est un message légitime. Cette réponse semble également provenir de la personne avec qui la marque parlait, ce qui rend l’e-mail encore plus légitime. Comme le note la société de sécurité : L’utilisation du détournement de conversation est une puissante technique d’ingénierie sociale qui peut augmenter le taux de réussite d’une tentative de phishing. Et tandis que les campagnes précédentes utilisaient des documents Office pour déposer des logiciels malveillants sur les machines des victimes, cette campagne IcedID utilise des fichiers ISO avec un fichier de raccourci Windows LNK et une bibliothèque de liens dynamiques (DLL). Le fichier LNK ressemble à un document, mais lorsqu’un utilisateur double-clique dessus, il utilise l’outil Regsvr32 du système d’exploitation pour exécuter le fichier DLL, qui décrypte et exécute IcedID. L’utilisation de Regsvr32 aide les attaquants à éviter la détection, ont écrit les chercheurs sur les menaces. Il s’agit d’un programme en ligne de commande permettant d’enregistrer et de désenregistrer des DLL et des contrôles intégrés. Les malfaiteurs peuvent l’utiliser pour esquiver l’attention des outils antivirus et du personnel informatique « à cause des listes d’autorisation ou des faux positifs de Windows utilisant regsvr32.exe pour des opérations normales », a averti MITRE ATT&CK. Dans ce cas, l’outil n’est pas utilisé pour les opérations normales mais permet à la place l’exécution par proxy de code malveillant. Dans l’une des tentatives d’attaques découvertes par Intezer, le code du chargeur localise la charge utile chiffrée dans la.DLL via une technique appelée hachage d’API. En cas de succès, la charge utile IcedID Gziploader est décodée, placée en mémoire et exécutée. « GZiploader prend les empreintes digitales de la machine et envoie une balise au serveur de commande et de contrôle avec des informations sur l’hôte infecté », ont expliqué les chercheurs. « Les informations sont passées en contrebande via l’en-tête des cookies via une requête HTTP GET. » Dans cette analyse particulière, le serveur de commande et de contrôle a répondu avec toutes les commandes néfastes. On suppose que si l’empreinte digitale du système indique un système qui intéresse les malfaiteurs, IcedID serait chargé d’effectuer d’autres actions, telles que l’injection de logiciels d’extorsion, l’exfiltration de données ou d’informations d’identification, etc.
Qui est derrière la nouvelle campagne IcedID ?Bien qu’Intezer ne trace pas de ligne directe entre cette campagne IcedID et le gang de cybercriminalité étiqueté TA551, l’analyse note un rapport de juin 2021 de Proofpoint qui a souligné la préférence de TA577 et TA551 pour l’utilisation d’IcedID comme malware. « Les techniques utilisées par TA551 incluent le détournement de conversation et les fichiers zip protégés par mot de passe », a expliqué le duo d’Intezer. « Le groupe est également connu pour utiliser regsvr32.exe pour l’exécution de proxy binaire signé pour les DLL malveillantes. » Ils ont cité quatre indicateurs de compromission pour les défenseurs du réseau, sous la forme de hachages SHA-256 pour les fichiers et le nom de domaine de commande et de contrôle : De plus, comme ce type d’attaque nécessite des outils de sécurité capables de détecter les fichiers malveillants en mémoire, la sécurité cabinet a recommandé d’utiliser un scanner de point final. ®