A Microsoft figyelmeztetést adott ki, melyben felhívja a cégek figyelmét arra a sajátos támadási formára, mely a kapcsolati űrlapok felhasználásával rosszindulatú vírussal fertőzi meg a honlapokat. A támadók hamis jogi fenyegetéseket küldenek a vállalati emailekre, melyek megkerülik a beépített biztonsági védelmet.

“Az emailek felszólítják a címzetteket, hogy kattintsanak a levélben található linkre, mely ismerteti velük az állítólagos bizonyítékokat. A linkre kattintva viszont elkezdődik az IcedID letöltése, mely egy információszerző rosszindulatú vírus” – jelezte a Microsoft kiberbiztonsági szakértői csapata.

Az IcedID egy Windows-alapú pénzügyekre szakosodott trójai vírus, mely banki adatokat és azonosítókat szerez meg és szivárogtat ki. Emellett olyan alkalmazása is van, mely lehetővé teszi, hogy távoli irányító (C2) szerverhez kapcsolódjék, ezáltal pedig egyéb zsaroló és rosszindulatú vírusok előtt nyitja meg a kapukat, melyek a megszerzett azonosítók felhasználásával teljes hozzáférést kapnak az adott hálózatokhoz.

A Microsoft szerint a támadók valószínűleg automatizált eszközt alkalmaztak az emailek kiküldéséhez, mely a céges honlapok kapcsolati űrlapját használta, miközben megkerülte a CAPTCHA védelmi rendszert. Az emailek jogi eljárással fenyegetik az áldozatokat, azt állítva, hogy a címzettek “az ő beleegyezésük nélkül felhasználták a képeiket vagy illusztrációikat, ezért jogi lépéseket helyeznek kilátásba”.

A sürgős intézkedés látszatát keltve az emailek arra próbálják rávenni a címzetteket, hogy érzékeny információkat osszanak meg vagy kattintsanak rá a küldött linkre, esetleg nyissanak meg egy vírust hordozó fájlt. A támadási folyamat során az áldozatok linket kapnak egy sites.google.com oldalhoz, mely azt kéri tőlük, hogy a Google azonosítóikkal lépjenek be, melyet követően egy ZIP archive fájl automatikus letöltése kezdődik el.

A ZIP fájl egy olyan JavaScript fájl, mely letölti az IcedID vírust. Ráadásul a rosszindulatú kód képes másodlagos alkalmazások letöltésére is, amilyen például a Cobalt Strike, ezáltal még nagyobb veszélybe sodorja az áldozatot.

Ez a fajta támadási mód nem egyedülálló, csupán azt jelzi, hogy a támadók minden lehetséges eszközt felhasználnak és nem sajnálják a fáradtságot, hogy pszichológiai módszereket is bevessenek a céljaik eléréséhez. A kapcsolati űrlapok alkalmazása annyiban nehezíti meg a védekezést, hogy az adott emailekben nincs semmilyen arra utaló jel, hogy rosszindulatú a tartalmuk, sőt, látszólag teljesen jogosak és hitelesek.

A Kerubiel szakemberei nem csupán a számítógépes rendszerek védelmét látják el, de kiemelkedő gyakorlatuk van a pszichológiai támadások (social engineering) kivédésében is. Készítse fel Ön is munkatársait a Kerubiel segítségével, hogy biztonságban tudhassa adatait és üzleti információit!

Forrás