Hackeri používajúci kontaktné formuláre webových stránok na doručovanie škodlivého softvéru IcedID

Spoločnosť Microsoft varovala organizácie pred „jedinečnou“ útočnou kampaňou, ktorá zneužíva kontaktné formuláre zverejnené na webových stránkach na poskytovanie škodlivých odkazov firmám prostredníctvom e-mailov obsahujúcich falošné právne hrozby, čo je ďalší prípad, keď protivníci zneužívajú legitímnu infraštruktúru na vytváranie vyhýbavých kampaní, ktoré obchádzajú bezpečnostné ochrany.

“E-maily inštruujú príjemcov, aby klikli na odkaz na preskúmanie údajných dôkazov za ich obvineniami, ale namiesto toho sú vedené k stiahnutiu IcedID, malvéru na krádež informácií,” uviedol tím spoločnosti pre informácie o hrozbách v správe zverejnenej minulý piatok.

IceID je a Windows– bankový trójsky kôň, ktorý sa používa na prieskum a exfiltráciu bankových prihlasovacích údajov, spolu s funkciami, ktoré mu umožňujú pripojiť sa k serveru vzdialeného príkazu a ovládania (C2) a nasadiť ďalšie užitočné zaťaženie, ako je ransomvér a malvér, ktorý dokáže ovládať klávesnicu útoky, kradnutie prihlasovacích údajov a bočný pohyb cez postihnuté siete.

Výskumníci spoločnosti Microsoft uviedli, že útočníci mohli použiť automatizovaný nástroj na doručenie e-mailov zneužitím kontaktných formulárov podnikov a obchádzaním ochrany CAPTCHA. Samotné e-maily využívajú právne hrozby na zastrašenie obetí, pričom tvrdia, že príjemcovia „údajne použili ich obrázky alebo ilustrácie bez ich súhlasu a že proti nim budú podniknuté právne kroky“.

Vyvolaním pocitu naliehavosti ide o priviesť obeť k odhaleniu citlivých informácií, kliknutiu na útržkovitý odkaz alebo otvoreniu škodlivého súboru. V tomto reťazci infekcií je to odkaz na stránku sites.google.com, ktorá vyžaduje, aby sa používatelia prihlásili pomocou svojich poverení Google, po čom sa automaticky stiahne archívny súbor ZIP.

Súbor ZIP obsahuje značne zahmlený súbor JavaScript, ktorý sťahuje malvér IcedID. A čo viac, škodlivý kód má schopnosť stiahnuť sekundárne implantáty, ako je Cobalt Strike, čo potenciálne vystavuje postihnuté obete ďalšiemu riziku.

Bez ohľadu na novú cestu prieniku sú útoky ďalším znakom toho, ako aktéri hrozieb neustále upravujú svoje taktiky sociálneho inžinierstva, aby sa zamerali na spoločnosti s úmyslom distribuovať malvér a vyhýbať sa detekcii.

„Scenáre […] ponúkajú seriózny pohľad na to, ako sa rozrástli sofistikované techniky útočníkov, pri zachovaní cieľa doručovať nebezpečný škodlivý softvér, akým je napríklad IcedID,“ uviedli vedci. škodlivé správy a sú zdanlivo legitímne.“