Dirottamento delle email per installare il malware IceID

Sfruttando le note falle di Microsoft Exchange, un gruppo criminale si appropria di un account email e si intromette nelle conversazioni per diffondere il malware IceID.

Business Vulnerabilità

Il cybercrime in continua evoluzione e le specializzazioni in settori verticali è ormai una realtà. Uno dei settori che ha vissuto la crescita maggiore negli ultimi anni è quello degli Initial Access Broker, le persone specializzate nell'ottenere e rivendere ai gruppi criminali (tipicamente ransomware) gli accessi iniziali alle aziende target. Sembrano essere dietro a una campagna attiva da circa cinque mesi che ha compe protagonista il trojan bancario IcedID.

Parliamo di una minaccia che è in circolazione dal 2017 e inizialmente era usato per rubare le credenziali bancarie; ora è gettonato per distribuire altri malware sulle macchine infette. IceID agisce tipicamente tramite phishing: le vittime selezionate ricevono email con allegati che, una volta aperti, avviano l'infezione. Nel caso di IceID veniva impiegato un allegato .zip che conteneva il solito documento di Office con le macro malevole.

Quello che sta accadendo con una recente campagna di IceID, tuttavia, è un'evoluzione preoccupante. Sfruttando le ormai note falle di Microsoft Exchange, i cyber criminali sfruttano i server compromessi per assumere il controllo di un account, quindi dirottare una conversazione di gruppo inviando ai destinatari un messaggio che appare come il proseguimento di un thread.


Chi riceve il messaggio non si insospettisce, dato che entra in un flusso di conversazione già in atto, quindi la frode ha molte più probabilità di andare a segno. Oltre tutto, per evitare che qualcuno si insospettisca per il file Office con macro, gli attaccanti hanno cambiato anche il formato dell'allegato dannoso. Non è più un documento Office, ma un file ISO compresso che include a sua volta due file: un file LNK denominato "document" e un file DLL denominato "main". Oltre a essere un formato sconosciuto a molti, ha anche il vantaggio di bypassare agilmente i controlli Mark-of-the-Web. È il file DLL a contenere il loader per il payload crittografato di IcedID, "annegato" in una buona dose di codice spazzatura.

Il payload viene decodificato, inserito in memoria, eseguito, quindi si mette in contatto con il server di comando e controllo, a cui in prima battuta comunica le informazioni sull'host infetto tramite richiesta HTTP. Secondo i dati finora esaminati la campagna sarebbe in corso da novembre 2021 e le vittime finora individuate sono parte dei settori dell'energia, della sanità, legale e farmaceutico.


Da notare che la tecnica di dirottare una conversazione già esistente non è sconosciuta. È stata affinata e modificata per sfruttare le vulnerabilità ProxyShell e ProxyLogon di Exchange, che nonostante siano state a lungo protagoniste della cronaca infosec, non sono ancora state chiuse da tutte le aziende.

I ricercatori di Intezer che hanno indagato su questo attacco sottolineano infatti che la maggior parte dei server Exchange da cui partivano gli attacchi erano privi di patch ed esposti pubblicamente. È quindi il caso di rinnovare l'esortazione a dare corso agli aggiornamenti di sicurezza pubblicati da Microsoft. Nel report sono inclusi anche gli Indicatori di Compromissione.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Notizie correlate

Speciali Tutti gli speciali

Speciale

Threat Intelligence

Speciale

Cloud Security

Speciale

Cybertech Europe 2022

Speciale

Backup e protezione dei dati

Speciale

Cyber security: dentro o fuori?

Calendario Tutto

Ott 12
Business Continuity in IperConvergenza per l’Edge e la PMI
Ott 18
IT CON 2022 - Milano
Ott 19
IDC Future of Data 2022
Ott 20
SAP NOW 2022
Ott 20
Dell Technologies Forum 2022
Ott 20
IT CON 2022 - Roma
Nov 08
Red Hat Summit Connect - Roma
Nov 30
Red Hat Open Source Day - Milano

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter