Eine neue E-Mail-Phishing-Kampagne wurde entdeckt, die die Taktik des Conversation Hijacking ausnutzt, um die Malware IcedID auf infizierte Rechner zu schleusen, indem sie ungepatchte und öffentlich zugängliche Microsoft Exchange Server nutzt.
„Die E-Mails nutzen die Social-Engineering-Technik des Conversation Hijacking (auch bekannt als Thread Hijacking)“, so das israelische Unternehmen Intezer in einem Bericht an The Hacker News. „Eine gefälschte Antwort auf eine zuvor gestohlene E-Mail wird verwendet, um den Empfänger zu überzeugen, den Anhang zu öffnen. Das ist bemerkenswert, weil es die Glaubwürdigkeit der Phishing-E-Mail erhöht und eine hohe Infektionsrate verursachen kann.“
Die jüngste Angriffswelle, die Mitte März 2022 aufgedeckt wurde, soll auf Unternehmen in den Bereichen Energie, Gesundheitswesen, Recht und Pharmazie abgezielt haben.
IcedID, auch bekannt als BokBot, ist wie seine Gegenstücke TrickBot und Emotet ein Banking-Trojaner, der sich zu einem Einfallstor für raffiniertere Bedrohungen entwickelt hat, darunter menschengesteuerte Ransomware und das Angriffssimulationstool Cobalt Strike.
Er ist in der Lage, sich mit einem entfernten Server zu verbinden und die nächsten Implantate und Tools herunterzuladen, die es den Angreifern ermöglichen, Folgeaktivitäten durchzuführen und sich seitlich über die betroffenen Netzwerke zu bewegen, um weitere Malware zu verbreiten.
Im Juni 2021 deckte das Sicherheitsunternehmen Proofpoint eine neue Taktik in der Cyberkriminalität auf, bei der Initial Access Broker beobachtet wurden, die Zielnetzwerke über First-Stage-Malware-Payloads wie IcedID infiltrierten, um Egregor, Maze und REvil Ransomware-Payloads zu verbreiten.
Während frühere IcedID-Kampagnen Kontaktformulare auf Webseiten ausnutzten, um mit Malware verseuchte Links an Unternehmen zu senden, setzt die aktuelle Version der Angriffe auf verwundbare Microsoft Exchange-Server, um die Köder-E-Mails von einem gekaperten Konto aus zu versenden.
„Die Nutzlast hat sich auch von der Verwendung von Office-Dokumenten auf die Verwendung von ISO-Dateien mit einer Windows LNK-Datei und einer DLL-Datei verlagert“, so die Forscher Joakim Kennedy und Ryan Robinson. „Die Verwendung von ISO-Dateien ermöglicht es dem Bedrohungsakteur, die Mark-of-the-Web-Kontrollen zu umgehen, sodass die Malware ohne Warnung des Nutzers ausgeführt wird.
Die Idee ist, betrügerische Antworten auf einen bereits existierenden E-Mail-Thread zu senden, der vom Konto des Opfers geplündert wurde, indem die E-Mail-Adresse der kompromittierten Person verwendet wird, um die Phishing-E-Mails legitimer erscheinen zu lassen.
„Der Einsatz von Conversation Hijacking ist eine mächtige Social-Engineering-Technik, die die Erfolgsquote eines Phishing-Versuchs erhöhen kann“, so die Forscher. „Durch diesen Ansatz erscheint die E-Mail legitimer und wird über die normalen Kanäle transportiert, zu denen auch Sicherheitsprodukte gehören können.