Ransomware Phishing-e-mails sluipen door SEG’s

Beveiligde e-mailgateway (SEG) is niet per se voldoende om te voorkomen dat phishing-e-mails ransomware aan werknemers bezorgen, vooral als de cybercriminelen legitieme cloudservices gebruiken om kwaadaardige pagina’s te hosten.

Onderzoekers slaan alarm over een phishing-e-mail die het startschot geeft voor een MICROP ransomware-offensief met Halloween-thema, dat volgens hen zijn weg vond naar de inbox van een doelwit, ondanks dat het werd beveiligd door een SEG.

Infectieroutine

De oorspronkelijke e-mail beweerde ondersteuning nodig te hebben voor een “DWG volgende benodigdhedenlijst”, die zogenaamd is gehyperlinkt naar een Google Drive-URL. De URL is eigenlijk een infectielink, die een .MHT-bestand heeft gedownload.

“.MHT-bestandsextensies worden vaak door webbrowsers gebruikt als een webpagina-archief”, legden de onderzoekers van Cofense uit. “Na het openen van het bestand krijgt het doelwit een vervaagd en schijnbaar gestempeld formulier te zien, maar de dreigingsactor gebruikt het .MHT-bestand om de malware-payload te bereiken.”

Die payload komt in de vorm van een gedownload .RAR-bestand, dat op zijn beurt een .EXE-bestand bevat.

“Het uitvoerbare bestand is een DotNETLoader die VBS-scripts gebruikt om de MIRCOP-ransomware in het geheugen te laten vallen en uit te voeren”, aldus de analyse.

De campagne is niet bijzonder geavanceerd, maar door het gebruik van Google Drive kon hij voorbij SEG’s komen.

“Het openingslokmiddel heeft een zakelijk thema en maakt gebruik van een service – zoals Google Drive – die bedrijven gebruiken voor het aanleveren van bestanden”, leggen de onderzoekers uit. “De snelle implementatie van de MHT-payload tot de uiteindelijke versleuteling laat zien dat deze groep zich niet druk maakt om stiekem te zijn. Omdat de bezorging van deze ransomware zo eenvoudig is, is het vooral zorgwekkend dat deze e-mail via een SEG in de inbox van een omgeving terecht is gekomen.”

De ontvanger van deze Halloween-MICROP meldde de e-mail als verdacht, waardoor Cofense de potentiële nieuwe dreiging ontdekte.

Een bloederig thema, ongebruikelijk gebruik van Skype

“De MIRCOP-ransomware, ook bekend als Crypt888-ransomware, versleutelt de bestanden van gebruikers om ze te gijzelen”, meldden Cofense-analisten. “Nadat aan de betalingsvraag is voldaan, belooft de dreigingsactor de decoderingsmethode te leveren. Voor deze aanval geeft de dreigingsactor een set instructies op het behang.”

De gebruiker kan ook geen enkele applicatie openen, behalve een paar webbrowsers die hem toegang kunnen geven tot zijn e-mailadres dat wordt gebruikt om contact op te nemen met de aanvaller”, schreven Cofense-onderzoekers in een recent bericht. “Het e-mailadres wordt vervolgens gebruikt om de betaling in te stellen die nodig is om toegang te krijgen tot de decoderingstool waarvan de dreigingsactor beweert dat deze de bestanden en applicaties zal ontgrendelen.”

Ze voegden eraan toe: “Het gebruik van Skype als medium om te onderhandelen is ongebruikelijk, aangezien de meeste georganiseerde ransomware-bendes speciale sites of mobiele chat-apps hebben.”

Lokaal opgeslagen wachtwoorden bekijken

Het andere interessante aspect van deze campagne is een kwaadaardig bestand dat is waargenomen door het Cofense-team, genaamd “PI2.exe”. Het steelt wachtwoorden van webbrowsers, waaronder Explorer, Google Chrome, Firefox en Opera, waardoor de dreigingactoren zowel laterale toegang tot het netwerk krijgen als een toegangspunt voor toekomstige aanvallen.

“Als we de SHA256-hash van dit uitvoerbare bestand opzoeken op Virus Total, kan het worden gekoppeld aan tientallen kwaadaardige uitvoerbare bestanden die teruggaan tot juni van dit jaar”, aldus onderzoekers.

Deze “tool” geeft aan dat de verschuiving naar werken buiten kantoor bedrijven alleen maar verder blootstelt aan dit soort aanvallen, volgens Miclain Keffeler, een applicatiebeveiligingsadviseur bij nVisium. absoluut noodzakelijk, legde hij uit aan Threatpost.

“Crypt888 streeft naar horizontale escalatie van bevoegdheden door wachtwoorden te stelen die gebruikers mogelijk lokaal hebben opgeslagen – onvermijdelijk om op andere manieren te worden gebruikt die een bedrijf schade kunnen toebrengen”, zei Keffeler. “Naarmate de cloud blijft groeien, worden deze opgeslagen wachtwoorden een belangrijke aanvalsvector, omdat ze vaak grote hoeveelheden toegang kunnen verlenen – met weinig tot geen beveiligingscontroles.”

Kop 1

FBI: FatPipe VPN Zero-Day misbruikt door APT gedurende 6 maanden

FBI: FatPipe VPN Zero-Day misbruikt door APT gedurende 6 maanden

Een dreigingsactor maakt misbruik van een zero-day-kwetsbaarheid in FatPipe’s virtual private network (VPN)-apparaten als een manier om bedrijven te hacken en…
Exchange, Fortinet-fouten worden uitgebuit door Iraanse APT, waarschuwt CISA

Exchange, Fortinet-fouten worden uitgebuit door Iraanse APT, waarschuwt CISA

Een door de staat gesteunde Iraanse dreigingsactor maakt gebruik van meerdere CVE’s – waaronder al maanden ernstige Fortinet-kwetsbaarheden en wekenlang een…
6M Sky-routers bijna 1,5 jaar blootgesteld aan aanvallen

6M Sky-routers bijna 1,5 jaar blootgesteld aan aanvallen

Sky, een Britse breedbandprovider, liet de onderbuik van ongeveer 6 miljoen klanten bloot aan aanvallers die hun tanden op afstand in…