Er is een nieuwe e-mailphishing-campagne gespot die gebruikmaakt van de tactiek van het kapen van gesprekken om de IceID info-stelende malware op geïnfecteerde machines door gebruik te maken van niet-gepatchte en openbaar toegankelijke Microsoft Exchange-servers.
“De e-mails maken gebruik van een social engineering-techniek van het kapen van gesprekken (ook bekend als het kapen van threads)”, zei het Israëlische bedrijf Intezer in een rapport dat werd gedeeld met The Hacker News. “Een vervalst antwoord op een eerder gestolen e-mail wordt gebruikt om de ontvanger te overtuigen de bijlage te openen. Dit is opmerkelijk omdat het de geloofwaardigheid van de phishing-e-mail verhoogt en een hoog infectiepercentage kan veroorzaken.”
De laatste golf van aanvallen, ontdekt medio maart 2022, zou gericht zijn geweest op organisaties in de sectoren energie, gezondheidszorg, recht en farmacie.
IceID, ook bekend als BokBot, net als zijn tegenhangers TrickBot en Emotetis een bancaire trojan dat is geëvolueerd tot een toegangspunt voor meer geavanceerde bedreigingen, waaronder door mensen bediende ransomware en de Cobalt Strike tegenstander simulatie tool.
Het is in staat om verbinding te maken met een externe server en implantaten en tools van de volgende fase te downloaden waarmee aanvallers vervolgactiviteiten kunnen uitvoeren en lateraal over getroffen netwerken kunnen bewegen om extra malware te verspreiden.
In juni 2021 onthulde het beveiligingsbedrijf Proofpoint een evoluerende tactiek in het landschap van cybercriminaliteit, waarbij initiële toegangsmakelaars werden waargenomen die doelnetwerken infiltreerden via malware-payloads van de eerste fase zoals IcedID om Egregor-, Maze- en REvil-ransomware-payloads te implementeren.
Terwijl eerdere IcedID-campagnes hebben geprofiteerd van: website contactformulieren om malware-geregen links naar organisaties te sturen, de huidige versie van de aanvalsbank op kwetsbare Microsoft Exchange-servers om de verlokkende e-mails te verzenden vanaf een gekaapt account, wat wijst op een verdere evolutie van het social engineering-schema.
“De payload is ook verschoven van het gebruik van Office-documenten naar het gebruik van ISO-bestanden met een Windows LNK-bestand en een DLL-bestand”, aldus onderzoekers Joakim Kennedy en Ryan Robinson. “Het gebruik van ISO-bestanden stelt de dreigingsactor in staat om de Mark-of-the-Web-besturingselementenwat resulteert in de uitvoering van de malware zonder waarschuwing aan de gebruiker.”
Het idee is om frauduleuze antwoorden te sturen naar een reeds bestaande e-mailthread die is geplunderd uit het account van het slachtoffer door het e-mailadres van de besmette persoon te gebruiken om de phishing-e-mails legitiemer te laten lijken.
“Het gebruik van gesprekskaping is een krachtige social engineering-techniek die de snelheid van een succesvolle phishing-poging kan verhogen”, concluderen de onderzoekers. “Door deze aanpak te gebruiken, lijkt de e-mail legitiemer en wordt deze getransporteerd via de normale kanalen die ook beveiligingsproducten kunnen bevatten.”
