Yeni bir e-posta kimlik avı kampanyası, iletiyi teslim etmek için konuşma kaçırma taktiğinden yararlanıyor. IcedID bilgi çalan kötü amaçlı yazılım yama uygulanmamış ve herkese açık Microsoft Exchange sunucularını kullanarak virüslü makinelere.
İsrailli şirket Intezer, “E-postalar, bir sosyal mühendislik konuşma korsanlığı tekniği kullanıyor (aynı zamanda iş parçacığı ele geçirme olarak da bilinir),” dedi. rapor Hacker News ile paylaşıldı. “Önceki çalınmış bir e-postaya sahte bir yanıt, alıcıyı eki açmaya ikna etmenin bir yolu olarak kullanılıyor. Bu, kimlik avı e-postasının güvenilirliğini artırdığı ve yüksek bulaşma oranına neden olabileceği için dikkate değerdir.”
Mart 2022’nin ortalarında tespit edilen son saldırı dalgasının enerji, sağlık, hukuk ve ilaç sektörlerindeki kuruluşları hedef aldığı söyleniyor.
IcedID, diğer adıyla BokBot, benzerleri TrickBot ve ifadebir bankacılık truva atı insan tarafından işletilen fidye yazılımları dahil olmak üzere daha karmaşık tehditler için bir giriş noktası haline geldi. kobalt grevi düşman simülasyon aracı.
Uzak bir sunucuya bağlanma ve saldırganların devam eden etkinlikleri gerçekleştirmesine ve ek kötü amaçlı yazılım dağıtmak için etkilenen ağlar arasında yanlamasına hareket etmesine olanak tanıyan sonraki aşama implantları ve araçları indirebilir.
Haziran 2021’de kurumsal güvenlik firması Proofpoint, siber suç ortamında, ilk erişim aracılarının Egregor, Maze ve REvil fidye yazılımı yüklerini dağıtmak için IcedID gibi birinci aşama kötü amaçlı yazılım yükleri aracılığıyla hedef ağlara sızdığını gözlemlediği gelişen bir taktik açıkladı.
Daha önceki IcedID kampanyaları web sitesi iletişim formları Saldırıların mevcut sürümü, kuruluşlara kötü amaçlı yazılım bağlantılı bağlantılar göndermek için, ele geçirilmiş bir hesaptan cezbedici e-postalar göndermek için savunmasız Microsoft Exchange sunucularında banka kurar ve sosyal mühendislik şemasının daha da evrimleştiğini gösterir.
Araştırmacılar Joakim Kennedy ve Ryan Robinson, “Yük, Office belgelerini kullanmaktan bir Windows LNK dosyası ve bir DLL dosyasıyla ISO dosyalarının kullanımına geçti.” Dedi. “ISO dosyalarının kullanılması, tehdit aktörünün Web’de İşaretleme kontrollerikötü amaçlı yazılımın kullanıcıya uyarı vermeden yürütülmesine neden olur.”
Buradaki fikir, kimlik avı e-postalarının daha meşru görünmesini sağlamak için, güvenliği ihlal edilen kişinin e-posta adresini kullanarak kurbanın hesabından yağmalanan halihazırda mevcut bir e-posta ileti dizisine sahte yanıtlar göndermektir.
Araştırmacılar, “Konuşma korsanlığının kullanılması, başarılı bir kimlik avı girişimi oranını artırabilecek güçlü bir sosyal mühendislik tekniğidir.” “Bu yaklaşımı kullanarak, e-posta daha meşru görünüyor ve güvenlik ürünlerini de içerebilen normal kanallar aracılığıyla taşınıyor.”