Uma organização quase foi vítima de uma campanha de ataque que usou o malware Squirrelwaffle junto com explorações para ProxyLogon e Proxy Shell para atingir um Microsoft Exchange Server. Sophos os pesquisadores analisaram o ataque e desvendaram os métodos dos atores maliciosos que perseguiram a organização de vítimas sem nome.
Apesar do nome engraçado, o Squirrelwaffle é um tipo perigoso de malware que se espalha por meio de campanhas de spam. Os invasores sequestraram um tópico de e-mail e responderam às mensagens com o que pareciam ser anexos inocentes. Em vez disso, eram documentos que permitiam que as macros dessem o controle de um sistema aos invasores.
Um tópico sequestrado pode ser bastante convincente. Por exemplo, uma mensagem pode alegar ser de alguém que foi inserido em um encadeamento preexistente para compartilhar mais informações. Como parte da campanha investigada pela Sophos, os invasores usaram um domínio typo-squatted que parecia semelhante ao domínio em que um thread começou. Essa manobra trocou o thread para outro domínio menos seguro.
Neste ataque específico, os agentes de ameaças copiaram vários endereços de e-mail para parecerem legítimos.
“Isso é muito compreensível, vou esperar por suas atualizações. O departamento financeiro está em cópia neste e-mail e fornecerá os detalhes bancários atualizados em breve”, dizia a primeira mensagem dos invasores.
Um e-mail posterior pressionou a vítima a fazer um pagamento.
O ataque foi quase bem sucedido. De acordo com a Sophos, a organização não identificada transferiu dinheiro para os atacantes, mas o pagamento foi sinalizado e interrompido por uma instituição financeira.
Embora a correção de um Microsoft Exchange Server seja importante, é necessário mais para proteger uma organização.
“Este é um bom lembrete de que o remendo sozinho nem sempre é suficiente para proteção”, disse o pesquisador da Sophos, Matthew Everts. ZDNetGenericName. “No caso de servidores Exchange vulneráveis, por exemplo, você também precisa verificar se os invasores não deixaram para trás um shell da Web para manter o acesso. funcionários sobre o que procurar e como denunciar é fundamental para a detecção.”
O ataque recentemente investigado foi uma evolução dos ataques Squirrelwaffle anteriores. Nesse caso, os agentes de ameaças adicionaram o elemento de agachamento de digitação à campanha, o que dificultou a defesa.