Согласно новому исследованию Microsoft, киберпреступники начали использовать контактные формы на веб -сайтах для доставки вредоносного ПО и банковского трояна IcedID по электронной почте ничего не подозревающим сотрудникам предприятия.

Команда Microsoft 365 Defender Threat Intelligence отслеживает новую кампанию, в которой злоумышленники злоупотребляют законной инфраструктурой, включая контактные формы веб-сайтов и URL-адреса Google, для обхода фильтров безопасности электронной почты .

По данным Microsoft, эти атаки начинаются с электронных писем, содержащих юридические угрозы, в которых утверждается, что получатель якобы использовал их изображения или иллюстрации без согласия и что против них будут приняты судебные меры. Эти электронные письма создают ощущение срочности, поскольку получатели, вероятно, захотят избежать судебного преследования, а ссылка site.google.com, используемая злоумышленниками, делает их угрозы более законными.

Обнаружив кампанию, Microsoft связалась с командой безопасности Google, которая уже занимается этим вопросом.

IcedID вредоносное ПО

Если целевой сотрудник решает дополнительно исследовать содержание одного из электронных писем кампании и щелкает ссылку site.google.com, страница автоматически загружает ZIP-файл, содержащий файл JavaScript, который загружает вредоносное ПО IcedID в виде файла .DAT. Однако также загружается компонент комплекта для тестирования на проникновение Cobalt Strike, который позволяет злоумышленникам, стоящим за кампанией, контролировать устройство пользователя через Интернет.

Эмили Хакер и Джастин Кэррол из Microsoft представили дополнительную информацию об этой новой кампании в своем блоге , отметив:

«В то время как эта конкретная кампания доставляет вредоносное ПО IcedID, этот метод доставки может использоваться для распространения широкого спектра других вредоносных программ, которые, в свою очередь, могут представлять другие угрозы для предприятия. Сам IcedID – это банковский троян, который превратился в точку входа для более сложных угроз, включая программы-вымогатели, управляемые человеком. Он подключается к серверу управления и контроля и загружает дополнительные имплантаты и инструменты, которые позволяют злоумышленникам выполнять атаки с клавиатуры, красть учетные данные и перемещаться по затронутым сетям, доставляя дополнительные полезные нагрузки ». 

Поскольку эта новая кампания способна распространять широкий спектр вредоносных программ, сотрудники должны внимательно следить за любыми подозрительными электронными письмами, в которых утверждается, что они нарушают авторские права. Им также следует избегать перехода по ссылкам в электронных письмах от неизвестных отправителей.