Investigasi terhadap SquirrelWaffle baru-baru ini malware (terbuka di tab baru) kampanye oleh keamanan cyber (terbuka di tab baru) para ahli telah mengungkapkan penggunaan Microsoft Exchange yang disusupi (terbuka di tab baru) server yang diserang menggunakan rantai keduanya ProxyLogon (terbuka di tab baru) dan ProxyShell (terbuka di tab baru) mengeksploitasi.
Taktik tersebut ditemukan oleh para peneliti di TrendMicro (terbuka di tab baru) yang menemukan bahwa penyerang memberikan legitimasi pada pesan jahat mereka dengan membobol server Microsoft Exchange lokal menggunakan dua kerentanan populernya.
Pelaku ancaman kemudian menggunakan server Exchange yang telah disusupi ini untuk membalas email internal perusahaan secara klasik balas-semua serangan berantai email (terbuka di tab baru)menjejali tautan berbahaya dalam rantai email yang sah untuk menginstal malware.
“Dalam intrusi yang sama, kami menganalisis header email untuk email berbahaya yang diterima, jalur email bersifat internal (antara tiga kotak surat server pertukaran internal), menunjukkan bahwa email tersebut tidak berasal dari pengirim eksternal, relai email terbuka, atau agen transfer pesan (MTA) apa pun,” catatan (terbuka di tab baru) TrendMicro.
Pembajakan server
Selain muncul sebagai kelanjutan dari diskusi yang sedang berlangsung, email jahat sekarang berasal dari dalam server email organisasi, memberikan legitimasi yang jauh lebih besar ke email berisi spam.
Lebih lanjut, para peneliti mengatakan bahwa mengirimkan konten berbahaya menggunakan jaringan internal yang disusupi server email (terbuka di tab baru) juga membantu memberantas masalah harus berurusan dengan perlindungan tingkat jaringan karena mereka tidak akan memblokir komunikasi internal.
Lebih khusus lagi, nama akun sebenarnya dari domain korban digunakan sebagai pengirim dan penerima, yang meningkatkan kemungkinan penerima akan mengklik tautan dan membuka file berbahaya. Microsoft Excel (terbuka di tab baru) spreadsheet,” amati para peneliti.
Email balasan-semua palsu ini berbahaya Microsoft Word (terbuka di tab baru) atau file Excel yang kemudian akan mengelabui penerima agar mengaktifkan eksekusi makro yang akan menarik dan menginstal malware SquirrelWaffle.
Lindungi komputer Anda dengan ini perangkat lunak antivirus terbaik (terbuka di tab baru)dan bersihkan mereka dengan ini perangkat lunak penghapus malware terbaik (terbuka di tab baru)
