Se ha detectado una nueva campaña de phishing de correo electrónico que aprovecha la táctica de secuestro de conversaciones para entregar el Malware para robar información IceID en máquinas infectadas haciendo uso de servidores de Microsoft Exchange sin parches y expuestos públicamente.
“Los correos electrónicos usan una técnica de ingeniería social de secuestro de conversaciones (también conocido como secuestro de hilos)”, dijo la compañía israelí Intezer en un comunicado. informe compartido con The Hacker News. “Se está utilizando una respuesta falsificada a un correo electrónico robado anterior como una forma de convencer al destinatario de que abra el archivo adjunto. Esto es notable porque aumenta la credibilidad del correo electrónico de phishing y puede causar una alta tasa de infección”.
Se dice que la última ola de ataques, detectada a mediados de marzo de 2022, se dirigió a organizaciones dentro de los sectores de energía, salud, derecho y farmacéutico.
IceID, también conocido como BokBot, al igual que sus contrapartes TrickBot y Emotetees un troyano bancario que ha evolucionado para convertirse en un punto de entrada para amenazas más sofisticadas, incluido el ransomware operado por humanos y el Golpe de cobalto herramienta de simulación de adversario.
Es capaz de conectarse a un servidor remoto y descargar implantes y herramientas de próxima etapa que permiten a los atacantes realizar actividades de seguimiento y moverse lateralmente a través de las redes afectadas para distribuir malware adicional.
En junio de 2021, la empresa de seguridad empresarial Proofpoint reveló una táctica en evolución en el panorama del delito cibernético en la que se observó a los corredores de acceso inicial infiltrarse en las redes objetivo a través de cargas útiles de malware de primera etapa como IcedID para implementar cargas útiles de ransomware Egregor, Maze y REvil.
Si bien las campañas anteriores de IcedID han aprovechado formularios de contacto del sitio web para enviar enlaces con malware a organizaciones, la versión actual del banco de ataques en servidores vulnerables de Microsoft Exchange para enviar correos electrónicos atractivos desde una cuenta secuestrada, lo que indica una evolución adicional del esquema de ingeniería social.
“La carga útil también se ha alejado del uso de documentos de Office al uso de archivos ISO con un archivo LNK de Windows y un archivo DLL”, dijeron los investigadores Joakim Kennedy y Ryan Robinson. “El uso de archivos ISO permite que el actor de amenazas pase por alto el Controles de marca de la Weblo que resulta en la ejecución del malware sin previo aviso al usuario”.
La idea es enviar respuestas fraudulentas a un hilo de correo electrónico ya existente saqueado de la cuenta de la víctima mediante el uso de la dirección de correo electrónico de la persona comprometida para que los correos electrónicos de phishing parezcan más legítimos.
“El uso del secuestro de conversaciones es una poderosa técnica de ingeniería social que puede aumentar la tasa de un intento de phishing exitoso”, concluyeron los investigadores. “Al usar este enfoque, el correo electrónico parece más legítimo y se transporta a través de los canales normales que también pueden incluir productos de seguridad”.