I ricercatori della società israeliana Intezer all’inizio di questo mese hanno scoperto una campagna di spear phishing che utilizza la tecnica del thread hijacking per inviare messaggi malevoli da account Exchange rubati e distribuire IcedID, il trojan bancario modulare individuato per la prima volta nel 2017 e utilizzato principalmente per distribuire malware di seconda fase, soprattutto dai gruppi IAB (Initial Access Broker) specializzati nel trovare vulnerabilità nelle difese delle aziende e vendere l’accesso ad altre bande cyber criminali.
Indice degli argomenti
IcedID, la minaccia ora è ancora più pericolosa
Non è una novità per gli operatori che stanno dietro IcedID riutilizzare le e-mail precedentemente rubate per rendere le loro trappole più convincenti.
Tuttavia, in questo caso, la minaccia risulterebbe ancora più pericolosa per le organizzazioni target nel settore energetico, sanitario, legale e farmaceutico. Infatti, mentre in precedenza la catena di infezione più comunemente associata alle campagne di phishing IcedID prevedeva e-mail con archivi ZIP protetti da password come allegati contenenti documento Office con macro per eseguire il programma di installazione di IcedID, adesso dicono i ricercatori che “il carico utile si è anche spostato dall’utilizzo di documenti Office all’uso di file ISO con un file LNK di Windows e un file DLL. L’uso di file ISO consente all’attore delle minacce di sovvertire i controlli di fiducia Mark-of-the-Web, con una conseguente esecuzione del malware senza alcun preavviso dato all’utente”.
Inoltre, in questa campagna, gli analisti hanno evidenziato come le e-mail di phishing vengano difficilmente contrassegnate come sospette soprattutto perché inviate da server Exchange vulnerabili con indirizzi IP locali all’interno di domini affidabili.
La nuova campagna IcedID
La nuova catena d’infezione inizia con un’e-mail di phishing con un messaggio e come allegato un file di archivio ZIP protetto da password inclusa nel corpo della stessa e-mail.
Come detto le e-mail sembrano più credibili per gli utenti perché gli aggressori si inseriscono in corrispondenze già in corso e trovate nella posta in arrivo degli account Exchange rubati.
Il file allegato una volta decompresso scarica un unico file .ISO con nome identico allo stesso archivio ZIP contenitore. Il file ISO contiene due file document.LNK e main.DLL.
Il file di collegamento .LNK camuffato con una icona documento se lanciato in realtà esegue il file .DLL ovvero il loader del payload IcedID “Gziploader”, attraverso il comando legittimo di Windows “regsvr32.exe” (eludendo in tal modo eventuali controlli di sicurezza).
In particolare gli esperti spiegano che il payload viene archiviato in forma crittografata nella sezione delle risorse del file binario (tramite la tecnica API hashing) e solo dopo la decodifica inserito in memoria ed eseguito.
In tal modo GZiploader sarebbe in grado di inviare un beacon ad un server di comando e controllo C2 (“yourgroceries[.]top”) tramite una richiesta HTTP GET, fornendo diverse informazioni relative all’host infetto che possono quindi essere utilizzate dagli attaccanti per ulteriori attività illecite.
Attribuzione e consigli di mitigazione
I ricercatori nel sottolineare che il dirottamento di conversazioni preesistenti (thread hijacking), l’impiego di file ZIP protetti da password e del comando Windows regsvr32.exe per eseguire DLL malevoli sono tutte tecniche già impiegate dall’attore delle minacce noto come TA551, ritengono che con molta probabilità la paternità della campagna in atto sia attribuibile a tale gruppo.
Inoltre come si rimarcato in conclusione nel rapporto Intezer, poiché la maggior parte dei server Exchange coinvolti negli attacchi esaminati sarebbero sistemi privi di patch ed esposti pubblicamente, per evitare anche lo sfruttamento delle note vulnerabilità ProxyShell e ProxyLogon di Exchange risolte ma non del tutto ancora recepite, resta sempre forte l’esortazione di dare corso agli aggiornamenti di sicurezza Microsoft e valutare l’implementazione degli indicatori di compromissione pubblicati.
Restano, altresì, sempre valide le buone regole anti-phishing.
