I ricercatori di Intezer hanno rilevato una nuova campagna che avvia attacchi con un’e-mail di phishing che utilizza il dirottamento delle conversazioni per diffondere il ransomware IcedID.
IcedID (BokBot), segnalato per la prima volta da IBM X-Force nel novembre 2017, è un trojan bancario utilizzato per distribuire ransomware. Si tratta di una minaccia che riguarda gli access broker, attori malevoli specializzati nell’ottenere un accesso iniziale alle organizzazioni e infettare le vittime con trojan bancari, per poi vendere l’accesso ad altri attori delle minacce che lo monetizzano ulteriormente in genere per distribuire ransomware.
Sebbene inizialmente IcedId è stato progettato per rubare le credenziali bancarie, come molti altri trojan bancari, il malware è stato riproposto per distribuire altro malware sui computer infetti.
La catena di attacco comunemente utilizzata è un’e-mail di phishing che include un messaggio su alcuni documenti importanti e in allegato un archivio “zip” protetto da password, presente nel corpo del testo.
Ciò che rende l’e-mail più convincente è che utilizza il dirottamento delle conversazioni (thread hijacking). È stata infatti utilizzata una risposta contraffatta a una precedente e-mail rubata e l’e-mail di phishing viene inviata dall’account e-mail da cui è stata rubata l’e-mail legittima.
All’interno dell’archivio è presente un documento Office abilitato alla macro che esegue il programma di installazione di IcedID.
Nella nuova campagna IcedID, il team di ricerca ha scoperto, come ulteriore evoluzione della tecnica degli attori delle minacce, che ora utilizzano server Microsoft Exchange compromessi per inviare e-mail di phishing dall’account rubato.
Il target di questa campagna malevole riguarda i settori energetico, sanitario, legale e farmaceutico.
https://www.intezer.com/blog/research/conversation-hijacking-campaign-delivering-icedid/
