Les SophosLabs enquêtent sur l'utilisation de la « station de distribution » du malware Squirrelwaffle en combinaison avec l'ingénierie sociale. Il y a eu une double attaque : les droppers de logiciels malveillants et la fraude financière ont traversé le même serveur Exchange vulnérable. Un guide d'incident pour les équipes de sécurité des organisations touchées par Squirrelwaffle.
Un Dans un article récent, l'équipe d'intervention rapide de Sophos décrit un cas dans lequel le logiciel malveillant Squirrelwaffle a exploité un serveur Exchange vulnérable pour distribuer du spam malveillant via des fils de discussion détournés.. Dans le même temps, un fil de discussion a été volé par les attaquants afin d'inciter les utilisateurs sans méfiance à transférer de l'argent.
Combinaison de Squirrelwaffle, ProxyLogon et ProxyShell
La combinaison de Squirrelwaffle, ProxyLogon et ProxyShell utilisée ici a été observée à plusieurs reprises par la Sophos Rapid Response Team ces derniers mois. Cependant, ce cas est le premier à montrer que des attaquants utilisent le typo-squatting pour conserver la possibilité d'envoyer des spams même lorsque le serveur Exchange a été corrigé. Ce faisant, les cybercriminels dirigent les utilisateurs qui font une faute de frappe lors de la saisie d'un nom de site Web vers un site malveillant contrôlé par eux.
Logiciel malveillant Squirrelwaffle et ingénierie sociale dans une double attaque
L'attaque actuelle pourrait être utilisée pour distribuer en masse Squirrelwaffle à des destinataires internes et externes en insérant des réponses manipulées dans les fils de discussion existants des employés de l'entreprise. Les chercheurs de Sophos ont découvert que pendant que la campagne de spam malveillant était en cours, le même serveur vulnérable était également utilisé pour une arnaque financière. Utilisant les connaissances que les criminels ont acquises grâce à un fil de courrier électronique volé, ils ont utilisé le typo-squatting pour tenter de convaincre les employés de l'entreprise concernée de rediriger une transaction monétaire destinée à un client vers les attaquants. Et la fraude perfide a failli réussir : le transfert aux cybercriminels était déjà approuvé, mais heureusement une banque est devenue suspecte et a stoppé la transaction au dernier moment.
Patcher seul ne suffit pas
Un commentaire de Matthew Everts, analyste chez Sophos Rapid Response et l'un des auteurs de l'étude, déclare :
« Dans une attaque typique de Squirrelwaffle via un serveur Exchange vulnérable, l'attaque se termine lorsque les défenseurs découvrent et corrigent la vulnérabilité en corrigeant les vulnérabilités et en supprimant la capacité de l'attaquant à envoyer des e-mails via le serveur. Cependant, dans l'incident sur lequel nous avons enquêté, une telle mesure n'aurait pas empêché la fraude financière, car les attaquants avaient exporté un fil de discussion sur les paiements des clients depuis le serveur Exchange de la victime. C'est un bon rappel que les correctifs seuls ne suffisent pas toujours à assurer une protection. Par exemple, les serveurs Exchange vulnérables doivent également s'assurer que les attaquants n'ont pas laissé derrière eux un shell Web pour maintenir l'accès. Et lorsqu'il s'agit d'attaques d'ingénierie sociale sophistiquées, comme celles utilisées dans le piratage de fils de messagerie, il est essentiel d'informer les employés sur ce qu'il faut rechercher et comment le signaler pour la détection.
Aide aux entreprises concernées : le guide des incidents Squirrelwaffle
Accompagnant le présent article, Sophos a également publié un Squirrelwaffle Incident Guide, qui fournit des instructions étape par étape sur la façon d'enquêter, d'analyser et de répondre aux incidents impliquant ce chargeur de logiciels malveillants de plus en plus populaire. Il est distribué sous forme de document Office malveillant dans les campagnes de spam et permet aux cybercriminels de prendre pied dans l'environnement d'une victime et de créer un canal pour proliférer et infecter les systèmes avec d'autres logiciels malveillants.
Le guide fait partie d'une série de guides sur les incidents produits par l'équipe Sophos Rapid Response pour aider les intervenants en cas d'incident et les équipes des opérations de sécurité à identifier et à corriger les outils, les techniques et les comportements courants liés aux menaces. Il peut être téléchargé gratuitement.
Plus sur Sophos.com
À propos de Sophos Plus de 100 millions d'utilisateurs dans 150 pays font confiance à Sophos. Nous offrons la meilleure protection contre les menaces informatiques complexes et la perte de données. Nos solutions de sécurité complètes sont faciles à déployer, à utiliser et à gérer. Ils offrent le coût total de possession le plus bas du secteur. Sophos propose des solutions de chiffrement primées, des solutions de sécurité pour les terminaux, les réseaux, les appareils mobiles, la messagerie et le Web. Vous bénéficiez également de l'assistance des SophosLabs, notre réseau mondial de centres d'analyse propriétaires. Le siège social de Sophos se trouve à Boston, aux États-Unis, et à Oxford, au Royaume-Uni.