Uważaj na próby oszustw finansowych (i nie tylko) rozsyłane poprzez serwery pocztowe Microsoft Exchange

Krótko o Squirrelwaffle

Squirrelwaffle to program ładujący złośliwe oprogramowanie, który jest rozpowszechniany jako dokument biurowy w kampaniach spamowych. Zapewnia atakującym wstępny przyczółek w środowisku ofiary oraz kanał do dostarczania i infekowania systemów innym złośliwym oprogramowaniem. Kiedy odbiorca otwiera dokument zainfekowany Squirrelwaffle i włącza makra, specjalny skrypt w Visual Basic pobiera i wykonuje sygnały nawigacyjne oprogramowania C2 Cobalt Strike, dając kontrolę nad komputerem osobie atakującej.

Kampania phishingowa atakująca serwery Microsoft Exchange

Badacze z Sophos wykryli nową kampanię phishingową, w której cyberprzestępcy wdrażają złośliwe oprogramowanie Squirrelwaffle na podatnych na ataki serwerach Exchange. W tym celu hakerzy wykorzystują luki w zabezpieczeniach ProxyLogon i ProxyShell w celu przeprowadzenia ataków na docelowe serwery, z których masowo dystrybuują Squirrelwaffle zarówno do odbiorców wewnętrznych, jak i zewnętrznych, wstawiając złośliwe odpowiedzi email do istniejących wątków poczty e-mail pracowników (tzw. przejmowanie wątków poczty e-mail).

Atakujący wykorzystując wiedzę uzyskaną z wątku e-mail rejestrują domenę z literówką, która na pozór wygląda identycznie jak legalna domena odbiorcy, lecz jest w ich posiadaniu. Fałszywa domena jest używana do wysyłania odpowiedzi e-mai w konkretnym wątku. Możliwość ta (przeniesienie konwersacji poza infrastrukturę poczty e-mail ofiary) daje atakującym kontrolę operacyjną nad tym, co wydarza się później.

„Osoby atakujące odpowiadają na wątek e-mail, używając adresów e-mail z fałszywej domeny (z literówką) i próbują przekierować płatności klientów ofiary do siebie.”

Aby uwiarygodnić konwersację i przekonać ofiarę, dołączają w DW dodatkowe adresy e-mail w celu sprawienia wrażenia, że proszą o wsparcie z działu wsparcia wewnętrznego. W rzeczywistości dodatkowe adresy zostały również utworzone przez atakującego w domenie z literówką.

Jak zapobiec takim atakom?

To nie pierwszy raz, kiedy złośliwe oprogramowanie Squirrelwaffle wykorzystuje te dwie luki. Co gorsza, złośliwe oprogramowanie może przetrwać nawet, gdy załatamy serwery Exchange. Dzieje się tak, ponieważ w tej kampanii cyberprzestępcy nie tylko wykorzystują zaatakowane serwery do wysyłania złośliwych wiadomości e-mail, ale także eksportują wątki, które nadal wykorzystują poprzez domeny z literówką.
Osoby atakujące stosują w nazwie domen literówki, aby nadal wysyłać wiadomości spamowe. W takich przypadkach jeśli zauważymy podejrzaną domenę w adresie email nadawcy, ro najlepiej oznaczać konkretną wiadomość jako spam lub zgłaszać ją jako podejrzaną do rejestratora fałszywej domeny.
W przypadku infrastruktury pocztowej, korzystanie z uznanych w branży standardów uwierzytelniania poczty elektronicznej, takich jak SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) i DMARC (Domain Message Authentication Reporting and Conformance) może utrudnić atakującemu wysyłanie fałszywych wiadomości e-mail podszywających się pod Twoją domenę.