A SophosLabs está investigando o uso da "estação de distribuição" do malware Squirrelwaffle em combinação com engenharia social. Houve um ataque duplo: os droppers de malware e as fraudes financeiras foram executados no mesmo Exchange Server vulnerável. Um guia de incidentes para equipes de segurança em organizações afetadas pelo Squirrelwaffle.
Em einem Em um artigo recente, a equipe de resposta rápida da Sophos descreve um caso em que o malware Squirrelwaffle explorou um servidor Exchange vulnerável para distribuir spam malicioso por meio de segmentos de e-mail sequestrados. Ao mesmo tempo, um segmento de e-mail foi roubado pelos invasores para induzir usuários desavisados a transferir dinheiro.
Combinação de Squirrelwaffle, ProxyLogon e ProxyShell
A combinação de Squirrelwaffle, ProxyLogon e ProxyShell usada aqui foi observada várias vezes pelo Sophos Rapid Response Team nos últimos meses. No entanto, este caso é o primeiro a mostrar os invasores usando o typo-squatting para manter a capacidade de enviar spam mesmo quando o servidor Exchange foi corrigido. Ao fazer isso, os cibercriminosos direcionam os usuários que cometem um erro de digitação ao digitar o nome de um site para um site malicioso controlado por eles.
Malware Squirrelwaffle e engenharia social em ataque duplo
O ataque atual pode ser usado para distribuir em massa o Squirrelwaffle para destinatários internos e externos, inserindo respostas manipuladas em tópicos de e-mail existentes de funcionários da empresa. Os pesquisadores da Sophos descobriram que, enquanto a campanha de spam maliciosa estava em execução, o mesmo servidor vulnerável também estava sendo usado para um golpe financeiro. Usando o conhecimento que os criminosos obtiveram de um segmento de e-mail roubado, eles usaram a digitação para tentar convencer os funcionários da empresa afetada a redirecionar uma transação de dinheiro destinada a um cliente para os invasores. E a fraude pérfida quase deu certo: a transferência para os cibercriminosos já estava aprovada, mas felizmente um banco ficou desconfiado e interrompeu a transação no último momento.
Remendar sozinho não é suficiente
Um comentário de Matthew Everts, analista da Sophos Rapid Response e um dos autores do estudo, diz:
“Em um típico ataque Squirrelwaffle por meio de um servidor Exchange vulnerável, o ataque termina quando os defensores descobrem e corrigem a vulnerabilidade corrigindo as vulnerabilidades e removendo a capacidade do invasor de enviar e-mail pelo servidor. No entanto, no incidente que investigamos, tal medida não teria impedido a fraude financeira, pois os invasores haviam exportado um tópico de e-mail sobre pagamentos de clientes do servidor Exchange da vítima. Este é um bom lembrete de que os patches sozinhos nem sempre são suficientes para fornecer proteção. Por exemplo, os servidores Exchange vulneráveis também precisam garantir que os invasores não tenham deixado para trás um shell da Web para manter o acesso. E quando se trata de ataques sofisticados de engenharia social, como os usados no seqüestro de mensagens de e-mail, educar os funcionários sobre o que procurar e como relatar é fundamental para a detecção.”
Ajuda para as empresas afetadas: o Guia do Incidente Squirrelwaffle
Acompanhando o artigo atual, a Sophos também publicou um Guia de Incidentes Squirrelwaffle, que fornece instruções passo a passo sobre como investigar, analisar e responder a incidentes envolvendo esse carregador de malware cada vez mais popular. Ele é distribuído como um documento malicioso do Office em campanhas de spam e permite que criminosos cibernéticos ganhem uma posição inicial no ambiente da vítima e criem um canal para proliferar e infectar sistemas com outro malware.
O guia faz parte de uma série de guias de incidentes produzidos pela equipe de resposta rápida da Sophos para ajudar os respondentes de incidentes e as equipes de operações de segurança a identificar e corrigir ferramentas, técnicas e comportamentos de ameaças comuns. Ele pode ser baixado gratuitamente.
Mais em Sophos.com
Sobre a Sophos A Sophos tem a confiança de mais de 100 milhões de usuários em 150 países. Oferecemos a melhor proteção contra ameaças complexas de TI e perda de dados. Nossas soluções de segurança abrangentes são fáceis de implantar, usar e gerenciar. Eles oferecem o menor custo total de propriedade do setor. A Sophos oferece soluções de criptografia premiadas, soluções de segurança para endpoints, redes, dispositivos móveis, e-mail e web. Também há suporte da SophosLabs, nossa rede global de centros de análise proprietários. A sede da Sophos fica em Boston, EUA e Oxford, Reino Unido.