Los ciberdelincuentes están explotando las vulnerabilidades de ProxyLogon y ProxyShell en servidores de Microsoft Exchange obsoletos a través de campañas de spam para implementar malware en sistemas vulnerables.
Después de una investigación sobre una serie de invasiones en el Medio Oriente, los investigadores de Trend Micro descubrieron un nuevo cargador llamado SQUIRRELWAFFLE. Los ataques fueron documentados públicamente por primera vez por Cisco Talos y se cree que comenzaron en septiembre de 2021 a través de documentos de Microsoft Office infectados.
Los investigadores Mohamed Fahmy, Sherif Magdy y Abdelrhman Sharshar en un informe publicado la semana pasada dicen:
Se sabe que envía correos electrónicos maliciosos como respuestas a cadenas de correo electrónico preexistentes, una táctica que reduce la defensa de la víctima contra la actividad maliciosa.
Para lograr esto, creemos que involucró el uso de una cadena de vulnerabilidades ProxyLogon y ProxyShell.
ProxyLogon y ProxyShell están asociados con algunas fallas en los servidores de Microsoft Exchange y pueden permitir que un hacker eleve privilegios y ejecute código arbitrario de forma remota, tomando el control de máquinas vulnerables. Los errores de ProxyLogon se solucionaron en marzo y los errores de ProxyShell se solucionaron en una serie de actualizaciones publicadas entre mayo y julio.
Trend Micro dijo que ha observado el uso de exploits públicos CVE-2021-26855 (ProxyLogon), CVE-2021-34473 y CVE-2021-34523 (ProxyShell) en tres de los servidores de Microsoft Exchange que se vieron comprometidos en diferentes ataques utilizando el acceso a secuestrar hilos de correo electrónico legítimos y enviar mensajes de spam como respuestas, aumentando así la probabilidad de que los destinatarios desprevenidos abran los correos electrónicos.
Los investigadores agregan que los ciberdelincuentes detrás de la operación no hicieron movimientos laterales ni instalaron malware adicional para permanecer fuera del radar y evitar activar alertas.
La distribución de spam mediante esta técnica para llegar a todos los usuarios del dominio interno reducirá la posibilidad de detectar o detener el ataque, ya que los correos electrónicos no podrán filtrar ni poner en cuarentena ninguno de estos correos electrónicos internos.
La cadena de ataque involucra mensajes de correo electrónico que contienen un enlace que, cuando se hace clic, descarga un archivo de Microsoft Excel o Word. Al abrir el documento, se le solicita al destinatario que habilite las macros, lo que lleva a la descarga y ejecución del cargador de malware SQUIRRELWAFFLE, que se convierte en un punto de entrada para amenazas de última etapa como Cobalt Strike y Qbot. Finalmente, los investigadores advierten:
Las campañas SQUIRRELWAFFLE deben alertar a los usuarios sobre las diferentes tácticas utilizadas para enmascarar correos electrónicos y archivos maliciosos. Los correos electrónicos que provienen de contactos de confianza pueden no ser un indicador suficiente de que los enlaces o archivos incluidos en el correo electrónico son seguros.
Fuentes: Bleeping Computer y The Hacker News
Cuente con International IT para proteger a su empresa de los ciberataques con lo mejor del mercado.
Descubra nuestras soluciones avanzadas, robustas y seguras para NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoramento de Rede, Transferência de Arquivos Gerenciada, Consultoria de TIC, Treinamentos, Sustentação de Aplicações, Outsourcing, Licenciamento Geral e Help Desk.