Kategorier
Malware News Security awareness

Sårbarheter i Exchange öppnar för nya e-postattacker

Under hösten 2021 noterade flera säkerhetsföretag hur många Microsoft Exchange-system utsatts för Proxyshell-angrepp (en kombination av sårbarheterna CVE-2021-34473, CVE-2021-34523 och CVE-2021-31207).

Den senaste veckan har de angripna systemen börjat utnyttjas för att skicka phishing-attacker mot organisationer som tidigare haft e-postkontakt med det utnyttjade systemet. Phishing-attackerna är i många fall relativt dåligt utformade, men risken är ändå stor att de lyckas lura mottagarna eftersom de skickas som svar på pågående eller tidigare e-postkorrespondens. I flera fall anpassas även språket i de falska svar som skickas till det språk som tidigare använts i kommunikationen. Att phishing-mejlen dessutom skickas från annars legitima e-postsystem ökar också risken för att de lyckas kringgå många e-postfilter.

De exempel som Nimblr tagit del av innehåller ett kort meddelande som hänvisar till en länk. Länken leder till en ZIP-fil som i sin tur innehåller en Excel-fil med ett skadligt makro. När filen öppnas presenteras en bild som uppmanar användaren att aktivera makrot.

I ett av de exempel som Nimblr granskat är det enligt VirusTotal endast 4 av 92 säkerhetsleverantörer som identifierar länken som skadlig.

När Makrot exekveras laddas flera skadliga filer ner och därpå följer en process som gör det svårt, både att upptäcka och, att rensa bort den skadliga koden. Sedan tar den skadliga koden, steg för steg, över fler och fler rättigheter i nätverket och som sista steg aktiveras en ransomware som krypterar filerna i det infekterade nätverket.

Denna typ av angrepp förlitar sig till stor del på att lura slutanvändare att utföra olika handlingar. Nimblr erbjuder en onlinebaserad utbildningsplattform designad för att stärka slutanvändarnas säkerhetsmedvetande och minimera risken för fullbordade angrepp. Lösningen kombinerar interaktiva utbildningar om IT-säkerhet med simulerade attacker, praktiska övningar, och dagsfärskt innehåll om de senaste hoten i ett kontinuerligt utbildningsprogram.

Kategorier
Malware Security awareness

Falska mejl från Telia lockar med iPhone

Under tisdagen fick många svenskar ett falskt erbjudande från någon som utgav sig för att vara Telia. Meddelandet utlovade en gratis iPhone som tack för att man varit en lojal kund och att genom att klicka på en länk ska man kunna ange vart man vill ha sin gåva levererad. I själva verket gömmer sig skadlig kod bakom länken.

Telia Phishing Email

Det falska meddelandet är slarvigt ihopsatt och skrivet på relativt dålig svenska. Däremot har man ansträngt sig för att penetrera spamfilter och andra säkerhetsfunktioner, bland annat genom att gömma en stor mängd text som handlar om GDPR och cookie-hantering inne i meddelandet, troligtvis i syfte att förvirra spamfilrens granskning av innehållet.

Texten och länken till den skadlig sidan är också kodad för att undgå att upptäckas. De meddelanden som Nimblr har analyserat är skickade från ett legitimt e-postkonto i Apples e-posttjänst iCloud som kan antagas vara hackat.

Länken skickar användaren vidare i flera hopp för slutligen att landa på en Malaysisk server som tidigare använts för att sprida skadlig kod. Den skadliga koden ser ut att analysera användarens system och angriper bara om den anser sig ha en chans att lyckas infektera enheten, medans användare som t.ex. klickar på länken från en iPhone skickas vidare till Google.

De som ligger bakom meddelandet ser ut att ha lyckats väl med att ta sig förbi spamfilter och säkerhetsskydd, så sent som kl. 13 på tisdagen kunde meddelandet fortfarande passera Googles spamfilter utan att varken stoppas eller märkas upp som ”osäkert”. Man använder sig också av en välbeprövad metod för att få tveksamma mottagare att klicka på på länken – nämligen att varna för att erbjudandet är tidsbegränsat.

Alla delar i ett e-postmeddelande kan enkelt förfalskas. Den här gången används ”bara” ett falskt avsändarnamn så bluffen kan relativt enkelt genomskådas genom att granska avsändarens adress som inte alls är Telia.