Notícias de dispositivos móveis, gadgets, aplicativos Android

Servidor Exchange vulner√°vel atingido pelo carregador de malware Squirrelwaffle

O malware Squirrelwaffle foi encontrado desde meados de setembro de 2021. Este malware foi projetado para causar infec√ß√Ķes em cadeia. A Equipe de Resposta R√°pida da Sophos recentemente descoberto que o carregador de malware Squirrelwaffle usou exploits ProxyLogon e ProxyShell para atingir o Microsoft Exchange Server.

Depois de obter acesso ao servidor vulnerável, os invasores usaram a técnica de sequestro de threads de e-mail, que envolve a inserção de respostas maliciosas nos threads de e-mail existentes dos funcionários para distribuir o malware Squirrelwaffle para destinatários internos e externos.

Quando monitoraram mais detalhadamente, descobriram que o servidor vulner√°vel n√£o foi usado apenas para campanhas maliciosas de spam, mas tamb√©m para um ataque de fraude financeira, extraindo informa√ß√Ķes de um t√≥pico de e-mail roubado.

Esquilowaffle

Squirrelwaffle √© um tipo de carregador de malware distribu√≠do por meio de campanhas de spam como um documento de escrit√≥rio malicioso. Isso fornece informa√ß√Ķes sobre o ambiente da v√≠tima e um canal que pode ser usado para distribuir e infectar outros malwares.

Quando uma vítima abre o documento malicioso do Office e habilita macros, ela baixa um script VB e executa Cobalt Strike Beacons que dão controle sobre a máquina da vítima.

A investigação

Normalmente, o ataque Squirrelwaffle termina quando os defensores detectam e corrigem, fornecendo patches aos servidores vulneráveis. Mas no recente conjunto de eventos, tais medidas de remediação não teriam impedido o ataque de fraude financeira, uma vez que já exportaram um tópico de e-mail sobre o pagamento do cliente do servidor de troca da vítima. Portanto, recomenda-se investigar mais a fundo outros impactos.

Dom√≠nios ocupados por erros de digita√ß√£o foram registrados e usados ‚Äč‚Äčpelos invasores para respostas a conversas por e-mail.

N√≥s recomendamos:  Avatar: O trailer de The Way Of Water chegou, revelando uma √ļltima olhada na sequ√™ncia

O domínio registrado parece semelhante ao domínio original da vítima, mas com um pequeno erro de digitação que muitas vezes não é percebido pelas vítimas. Depois de convencerem as vítimas, eles usam essas mensagens de e-mail para redirecionar os pagamentos.

Para fornecer legitimidade adicional às vítimas, elas usaram endereços de e-mail adicionais do domínio de erro de digitação e os adicionaram em CC dos e-mails de resposta. Tal como qualquer outra campanha de phishing, estes atacantes também proporcionam um sentido de urgência às vítimas.

Prevenção

√Č aconselh√°vel manter os servidores Microsoft Exchange atualizados e corrigidos para evitar qualquer tipo de comprometimento. M√©todos de preven√ß√£o reconhecidos pelo setor, como registros SPF, DKIM e registros DMARC, devem ser padr√£o para impedir campanhas de phishing. Tamb√©m √© necess√°rio informar todos os colaboradores sobre as tentativas de Phishing.

Voc√™ pode nos seguir em Linkedin, Twitter, Facebook para atualiza√ß√Ķes di√°rias de seguran√ßa cibern√©tica.