Squirrelwaffle, vulnerabilidades de Microsoft Exchange Server explotadas para fraude financiero

La combinación de Squirrelwaffle, ProxyLogon y ProxyShell contra los servidores de Microsoft Exchange se utiliza para realizar fraudes financieros mediante el secuestro de correo electrónico.

El martes, investigadores de Sophos revelaron un incidente reciente en el que un Microsoft Exchange Server, que no había sido parcheado para protegerlo contra un conjunto de vulnerabilidades críticas reveladas el año pasado, fue atacado para secuestrar hilos de correo electrónico y difundir malspam.

Microsoft emitió parches de emergencia el 2 de marzo de 2021 para resolver las vulnerabilidades de día cero explotables para secuestrar servidores. El grupo de amenazas persistentes avanzadas (APT, por sus siglas en inglés), Hafnium, estaba explotando activamente los errores en ese momento, y otras APT siguieron rápidamente su ejemplo.

Si bien las vulnerabilidades de ProxyLogon/ProxyShell ahora son bien conocidas, algunos servidores aún no tienen parches y están abiertos a ataques.

El caso reciente documentado por Sophos combinó las fallas de Microsoft Exchange Server con Squirrelwaffle, un cargador de malware documentado por primera vez el año pasado en campañas de spam malicioso. El cargador a menudo se distribuye a través de documentos maliciosos de Microsoft Office o contenido de DocuSign agregado a correos electrónicos de phishing.

Si una víctima prevista habilita macros en los documentos armados, Squirrelwaffle se usa a menudo para extraer y ejecutar balizas CobaltStrike a través de un script VBS.

Además: la botnet FritzFrog regresa para atacar los sectores de salud, educación y gobierno

Sophos dice que en la campaña reciente, el cargador se implementó una vez que Microsoft Exchange Server se vio comprometido. El servidor, que pertenece a una organización no identificada, se utilizó para «distribuir masivamente» Squirrelwaffle a direcciones de correo electrónico internas y externas mediante el secuestro de hilos de correo electrónico existentes entre los empleados.

El secuestro de correo electrónico puede tomar muchas formas. Los hilos de comunicación pueden verse comprometidos a través de la ingeniería social y la suplantación, por ejemplo, por un atacante que finge ser un ejecutivo para engañar a los departamentos de contabilidad para que firmen una transacción fraudulenta, o mediante el envío masivo de correos electrónicos que contienen enlaces que conducen a cargas útiles de malware.

En este caso, la campaña de spam se usó para difundir Squirrelwaffle, pero además, los atacantes extrajeron un hilo de correo electrónico y usaron el conocimiento interno para realizar fraudes financieros.

Se tomaron los datos del cliente y se seleccionó una organización víctima. Los atacantes registraron un dominio con un nombre muy cercano a la víctima, una técnica conocida como typo-squatting, y luego crearon cuentas de correo electrónico a través de este dominio para responder al hilo de correo electrónico fuera del servidor.

«Para agregar más legitimidad a la conversación, los atacantes copiaron direcciones de correo electrónico adicionales para dar la impresión de que estaban solicitando asistencia de un departamento interno», explicó Sophos. «De hecho, las direcciones adicionales también fueron creadas por el atacante bajo el dominio con errores tipográficos».

Durante seis días, los atacantes intentaron dirigir una transacción financiera legítima a una cuenta bancaria de su propiedad. El pago estaba en camino a ser procesado, y solo debido a que un banco involucrado en la transacción se dio cuenta de que la transferencia probablemente era fraudulenta, la víctima no fue víctima del ataque.

«Este es un buen recordatorio de que la aplicación de parches por sí sola no siempre es suficiente para la protección», comentó Matthew Everts, investigador de Sophos. «En el caso de servidores de Exchange vulnerables, por ejemplo, también debe verificar que los atacantes no hayan dejado un shell web para mantener el acceso. Y cuando se trata de ataques de ingeniería social sofisticados, como los que se usan en el secuestro de hilos de correo electrónico, empleados sobre qué buscar y cómo informarlo es fundamental para la detección».

Ver también


¿Tienes un consejo? Póngase en contacto de forma segura a través de WhatsApp | Señal al +447713 025 499, o más en Keybase: charlie0


Deja un comentario