I SophosLabs stanno indagando sull'uso della "stazione di distribuzione" del malware Squirrelwaffle in combinazione con l'ingegneria sociale. C'è stato un doppio attacco: dropper di malware e frodi finanziarie sono passati attraverso lo stesso Exchange Server vulnerabile. Una guida agli incidenti per i team di sicurezza delle organizzazioni interessate da Squirrelwaffle.
In un In un recente articolo, il Sophos Rapid Response Team descrive un caso in cui il malware Squirrelwaffle ha sfruttato un server Exchange vulnerabile per distribuire spam dannoso tramite thread di posta elettronica compromessi. Allo stesso tempo, un thread di posta elettronica è stato rubato dagli aggressori per indurre gli utenti ignari a trasferire denaro.
Combinazione di Squirrelwaffle, ProxyLogon e ProxyShell
La combinazione di Squirrelwaffle, ProxyLogon e ProxyShell utilizzata qui è stata osservata più volte dal Sophos Rapid Response Team negli ultimi mesi. Tuttavia, questo caso è il primo a mostrare agli aggressori che utilizzano il typo-squatting per mantenere la capacità di inviare spam anche quando il server Exchange è stato aggiornato. In tal modo, i criminali informatici conducono gli utenti che commettono un errore di battitura durante la digitazione del nome di un sito Web a un sito dannoso controllato da loro.
Malware Squirrelwaffle e ingegneria sociale in duplice attacco
L'attuale attacco potrebbe essere utilizzato per distribuire in massa Squirrelwaffle a destinatari interni ed esterni inserendo risposte manipolate nei thread di posta elettronica esistenti dei dipendenti dell'azienda. I ricercatori di Sophos hanno scoperto che mentre era in corso la campagna di spam dannoso, lo stesso server vulnerabile veniva utilizzato anche per una truffa finanziaria. Utilizzando la conoscenza che i criminali hanno acquisito da un thread di posta elettronica rubato, hanno utilizzato il typo-squatting per cercare di convincere i dipendenti dell'azienda interessata a reindirizzare agli aggressori una transazione di denaro destinata a un cliente. E la perfida truffa è quasi riuscita: il bonifico ai cybercriminali era già stato approvato, ma per fortuna una banca si è insospettita e ha bloccato la transazione all'ultimo momento.
Il patch da solo non è sufficiente
Un commento di Matthew Everts, analista di Sophos Rapid Response e uno degli autori dello studio, afferma:
“In un tipico attacco Squirrelwaffle attraverso un server Exchange vulnerabile, l'attacco termina quando i difensori scoprono e correggono la vulnerabilità correggendo le vulnerabilità e rimuovendo la capacità dell'aggressore di inviare e-mail attraverso il server. Tuttavia, nell'incidente che abbiamo indagato, tale misura non avrebbe impedito la frode finanziaria, poiché gli aggressori avevano esportato un thread di posta elettronica sui pagamenti dei clienti dal server Exchange della vittima. Questo è un buon promemoria del fatto che le patch da sole non sono sempre sufficienti per fornire protezione. Ad esempio, i server Exchange vulnerabili devono anche garantire che gli aggressori non abbiano lasciato dietro di sé una web shell per mantenere l'accesso. E quando si tratta di sofisticati attacchi di ingegneria sociale, come quelli utilizzati nel dirottamento dei thread di posta elettronica, istruire i dipendenti su cosa cercare e come segnalare è fondamentale per il rilevamento.
Aiuto per le aziende interessate: la Guida agli incidenti di Squirrelwaffle
A corredo dell'attuale articolo, Sophos ha anche pubblicato una Guida agli incidenti di Squirrelwaffle, che fornisce istruzioni dettagliate su come indagare, analizzare e rispondere agli incidenti che coinvolgono questo caricatore di malware sempre più popolare. Viene distribuito come documento Office dannoso nelle campagne di spam e consente ai criminali informatici di ottenere un primo punto d'appoggio nell'ambiente di una vittima e creare un canale per proliferare e infettare i sistemi con altri malware.
La guida fa parte di una serie di guide agli incidenti prodotte dal Sophos Rapid Response Team per aiutare i soccorritori e i team delle operazioni di sicurezza a identificare e porre rimedio a strumenti, tecniche e comportamenti delle minacce comuni. Può essere scaricato gratuitamente.
Maggiori informazioni su Sophos.com
A proposito di Sophos Sophos gode della fiducia di oltre 100 milioni di utenti in 150 paesi. Offriamo la migliore protezione contro le minacce informatiche complesse e la perdita di dati. Le nostre soluzioni di sicurezza complete sono facili da implementare, utilizzare e gestire. Offrono il costo totale di proprietà più basso del settore. Sophos offre soluzioni di crittografia pluripremiate, soluzioni di sicurezza per endpoint, reti, dispositivi mobili, e-mail e web. C'è anche il supporto dei SophosLabs, la nostra rete globale di centri di analisi proprietari. Le sedi di Sophos sono a Boston, USA e Oxford, UK.