Criminosos cibernéticos estão explorando vulnerabilidades ProxyLogon e ProxyShell em servidores Microsoft Exchange desatualizados através de campanhas de spam para implementar malwares em sistemas vulneráveis.
Após uma investigação da sobre uma série de invasões no Oriente Médio, pesquisadores da Trend Micro descobriram um novo loader chamado SQUIRRELWAFFLE. Os ataques foram documentados publicamente pela primeira vez pela Cisco Talos e acredita-se que tenham começado em setembro de 2021 por meio de documentos do Microsoft Office infectados.
Os pesquisadores Mohamed Fahmy, Sherif Magdy e Abdelrhman Sharshar em relatório publicado na semana passada, afirmam:
Ele é conhecido por enviar e-mails maliciosos como respostas a cadeias de e-mail pré-existentes, uma tática que reduz a defesa da vítima contra atividades maliciosas.
Para conseguir fazer isso, acreditamos que envolveu o uso de uma cadeia de vulnerabilidades ProxyLogon e ProxyShell.
ProxyLogon e ProxyShell estão associados a algumas falhas nos servidores Microsoft Exchange e podem permitir que um hacker eleve privilégios e execute remotamente códigos arbitrários, assumindo o controle das máquinas vulneráveis. As falhas do ProxyLogon foram corrigidas em março e os bugs do ProxyShell foram corrigidos em uma série de atualizações lançadas entre maio e julho.
A Trend Micro disse que observou o uso dos exploits públicos CVE-2021-26855 (ProxyLogon), CVE-2021-34473 e CVE-2021-34523 (ProxyShell) em três dos servidores Microsoft Exchange que foram comprometidos em diferentes invasões, usando o acesso para sequestrar threads de e-mail legítimos e enviar mensagens de spam como respostas, aumentando assim a probabilidade de destinatários desavisados abrirem os e-mails.
Os pesquisadores acrescentam que os cibercriminosos por trás da operação não realizaram movimentos laterais ou instalaram malwares adicionais para permanecer sob o radar e evitar o acionamento de alertas.
Distribuir spam usando esta técnica para atingir todos os usuários do domínio interno diminuirá a possibilidade de detectar ou interromper o ataque, já que os e-mails não serão capazes de filtrar ou colocar em quarentena nenhum desses e-mails internos.
A cadeia de ataque envolve mensagens de e-mail contendo um link que, quando clicado, baixa um arquivo do Microsoft Excel ou Word. Ao abrir o documento, o destinatário é solicitado a habilitar macros, levando ao download e execução do loader de malware SQUIRRELWAFFLE, que se torna um ponto de entrada para ameaças de estágio final, como Cobalt Strike e Qbot. Por fim, os pesquisadores alertam:
As campanhas do SQUIRRELWAFFLE devem alertar os usuários quanto às diferentes táticas usadas para mascarar e-mails e arquivos maliciosos. E-mails que vêm de contatos confiáveis podem não ser um indicador suficiente de que qualquer link ou arquivo incluído no e-mail é seguro.
Fontes: Bleeping Computer e The Hacker News
Conte com a International IT para proteger sua empresa de ataques cibernéticos com o que há de melhor no mercado.
Conheça nossas soluções avançadas, robustas e seguras de NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoramento de Rede, Transferência de Arquivos Gerenciada, Consultoria de TIC, Treinamentos, Sustentação de Aplicações, Outsourcing, Licenciamento Geral e Help Desk.