IcedID trojaans paard wordt verspreid via contactformulieren van websites

Contactformulieren van websites en Google URL’s worden gebruikt om het IcedID trojaanse paard te verspreiden, volgens een recent blog van onderzoekers van het Microsoft 365 Defender Threat Intelligence Team.

Kwaadwillenden maken gebruik van contactforumlieren van websites om e-mails te versturen naar organisaties met verzonnen juridische bedreigingen. In deze e-mail berichten gaat het consequent over een inbreuk op het copyright van een fotograaf, illustrator of ontwerper. Bijgevoegd aan het e-mail bericht is een link naar “het bewijs” van deze juridische overtredingen. In werkelijkheid wordt iedereen die op de link klikt doorgestuurd naar een Google pagina dat het IcedID (ook bekend als BokBot) trojaans paard downloadt en daarna wordt ingezet voor het stelen van informatie en als loader voor andere malware.

“Wanneer aanvallers een contactformulier van een website invullen en bevestigen wordt er een e-mail bericht gegenereerd richting de ontvanger van de contactformulieren, deze bevat het bericht van de aanvaller. Het bericht maakt gebruik van sterke en urgente taal (‘Download it right now and check this out for yourself’), en zet druk op de ontvanger om direct actie uit te voeren. Dit om de ontvanger over te halen om op de link te klikken om de juridische gevolgen te vermijden.”

Afbeelding 1: Voorbeeld van e-mails via een contactformulier. Bron Microsoft

Wat gebeurt er als je op de link klikt?

De kwaadwillenden maken gebruik van nep namen die beginnen met Mel, zoals Melanie of Meleena. Ook wordt er een standaard formaat gevolgd voor de neppe e-mailadressen die bevatten de letter m, woorden die te maken hebben met fotografie en 3 willekeurige cijfers. Dan krijg je e-mailadressen als mphotographer550@yahoo.com of megallery736@aol.com.

De links in de e-mail berichten leiden slachtoffers naar een sites.google.com pagina, waarbij ze moeten inloggen. Als het slachtoffers besluit in te loggen wordt er automatisch een kwaadaardig .ZIP bestand gedownload. Wanneer dit .ZIP bestaand wordt uitgepakt bevat deze een zwaar versluierd .JS bestand, geven de onderzoekers aan. het .JS file wordt vervolgens uitgevoerd via WScript en maakt een shell object aan dat op zijn beurt PowerShell start en download de IcedID payload in de vorm van een .DAT bestand.

Het bestand bevat ook een Cobalt Strike beacon in de vorm van een stageless DLL, waarmee de kwaadwillenden toegang op afstand krijgen tot de machine van het slachtoffer.

Afbeelding 2: De aanvalsketens van de campagne. Bron Microsoft

Verdere analyse

De analyse laat verder zien dat het gedownloade .DAT bestand wordt geladen via het rundll32 uitvoerbare bestand, waarna er verschillende commando’s worden uitgevoerd voor het verzamelen van informatie. Het gaat hier onder andere om commando’s voor de volgende informatie:

  • Informatie over de antivirus software;
  • Informatie over het IP;
  • Informatie over het domein;
  • Informatie over het systeem;
  • En het plaatsen van SQLite om toegang te krijgen tot bank en andere credentials die zijn opgeslagen in de browser.

“Wanneer IcedID wordt uitgevoerd, wordt er een connectie gemaakt naar een command-and-control server (C2) om modules te downloaden met als primaire functie het vastleggen en exfiltreren van bank credentials en andere informatie,” volgens Microsoft. “IcedID behaalt persistentie via scheduled tasks. Ook downloadt het Cobalt Strike en andere tools, welke ervoor zorgen dat aanvallers op afstand malafide activiteiten uit kunnen voeren op het gecompromitteerde systeem, waaronder het verzamelen van andere credentials, lateraal bewegen en het uitrollen van andere payloads.”

De campagne heeft daarnaast ook nog een 2de aanvalsketen volgens de onderzoekers. Dit naar alle waarschijnlijkheid om door te kunnen gaan met de campagne als de sites.google.com pagina wordt neergehaald.

In deze 2de aanvalsketen worden gebruikers omgeleid naar een top domein, daarna krijgen ze “per ongeluk” toegang tot een Google User Content pagina krijgen welke het kwaadaardige .ZIP bestand downloadt. Uit verdere analyse blijkt dat de formulieren kwaadaardige sites.google.com links bevatten die de IcedID malware downloaden.

Een nieuwe manier van social engineering

Het gebruik van contactformulieren op websites zorgt ervoor dat de campagne e-mail spam filters kan omzeilen. Dit zorgt ervoor dat ontvangers eerder kunnen denken dat het van een vertrouwde afzender komt.

De kwaadaardige e-mail verschijnt in het Postvak IN van de ontvanger vanaf het contactformulier en lijkt betrouwbaar, omdat deze verstuurd is vanaf een vertrouwd e-mail marketingsysteem. Hiermee wordt legitimiteit bevestigd en wordt detectie vermeden. Gezien het hier gaat om een eigen contact formulier van de website van de ontvanger, lijkt deze e-mail template op wat er wordt verwacht van echte klanten die deze invullen.

Daarnaast draagt het gebruik van een Google pagina en inlog verzoeken er aan bij dat detectie wordt vermeden. Door het toevoegen van een authenticatie laag, kunnen detectie technologieën deze mail mogelijk helemaal niet identificeren als kwaadaardig, legt Microsoft uit.

Een week eerder waren er andere IcedID activiteiten gezien door onderzoekers van Uptycs, waarbij er e-mail campagnes waren gezien die gebruik maakten van Microsoft Excel werkblad in de bijlagen.

“Kwaadwillenden blijven gemotiveerd om nieuwe manieren te vinden om kwaadaardige e-mail te versturen naar bedrijven met de duidelijke bedoeling om detectie te vermijden,” geeft Microsoft aan. “De scenario’s die wij hebben gezien leveren een serieuze kijk in hoe geavanceerd technieken van aanvallers zijn gegroeid en daarnaast ook het doel behouden om gevaarlijke malware payloads af te leveren zoals IcedID. Het gebruik van contactformulieren is opvallend, omdat deze niet de typische kenmerken hebben van kwaadaardige berichten en echt kunnen lijken.”

Advies

Er wordt aan iedereen geadviseerd die soortgelijke e-mails krijgt via een contactformulier van de website om het e-mail adres dat de afzender heeft opgegeven te controleren en niet op de link te klikken ook al leidt deze naar een pagina van Google. Ook zijn deze mails te herkennen aan de noodzaak die wordt gewekt net zoals met phishingmails die normaal verstuurd worden.

Microsoft adviseert om gebruik te maken van 2 queries om proactief de dreigingen gerelateerd aan deze aanval op te sporen. De eerste query kan gebruikt worden voor het vinden van e-mails die mogelijk gerelateerd zijn aan deze activiteit en de andere query voor het vinden van malafide downloads gerelateerd aan deze dreiging.

Daarnaast wordt geadviseerd om te kijken naar de mail flow rules, gezien het hier gaat om misbruik van legitieme diensten. Het controleren van uitzonderingen zoals IP ranges of het toestaan van domeinen op een allow list kunnen deze e-mails doorlaten.

Source

Eerdere berichten

Ander Cybersecurity nieuws lezen? Bekijk ook eens onze andere recente berichten:

 

Kritieke Cloud kwetsbaarheid in VMWare Carbon Black
Zero-day kwetsbaarheid in Pulse Secure actief misbruikt en patch nog niet beschikbaar

Gerelateerde berichten

Microsoft

Microsoft Patch Tuesday mei 2021 patcht 55 kwetsbaarheden

21Nails kwetsbaarheden in veel gebruikte Exim-mailservers

FluBot

FluBot Android banking malware verspreid zich snel door Europa

Pulse Secure zero-day

Zero-day kwetsbaarheid in Pulse Secure actief misbruikt en patch nog niet beschikbaar

VMware

Kritieke Cloud kwetsbaarheid in VMWare Carbon Black

Apple brengt urgente patch uit voor actief aangevallen zero-day kwetsbaarheid

f5 kwetsbaarheid

Kritieke F5 BIG-IP kwetsbaarheid na PoC actief aangevallen

Mirai

Nieuwe Mirai botnet variant richt zich op SonicWall, D-link, Netgear en IoT devices

Een tikkende tijdbom

4 actief aangevallen zero-day kwetsbaarheden in Exchange gepatcht door Microsoft

VMware

Kritieke RCE kwetsbaarheden voor VMware ESXi en vSphere Client

Microsoft

Microsoft trekt defecte servicing stack update in na problemen voor gebruikers

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Fill out this field
Fill out this field
Geef een geldig e-mailadres op.
Je moet de voorwaarden accepteren voordat je het bericht kunt verzenden.

vier × 3 =

Menu