Los investigadores descubrieron que se enviaban correos electrónicos maliciosos como respuesta a cadenas de correo electrónico existentes. Los hackers utilizan el malware SquirrelWaffle para hackear servidores Exchange en una nueva campaña.
Los piratas informáticos están utilizando las vulnerabilidades ProxyShell y ProxyLogon para irrumpir en los servidores de Microsoft Exchange. Se trata de una nueva campaña para infectar sistemas con malware, evitando las medidas de seguridad respondiendo a cadenas de correo preexistentes.
Los investigadores de seguridad de Trend Micro dijeron que las investigaciones sobre varias intrusiones relacionadas con Squirrelwaffle llevaron a un examen más profundo del acceso inicial de estos ataques.
Los hackers utilizan el malware SquirrelWaffle para hackear servidores Exchange en una nueva campaña
El estudio dice que Squirrelwaffle surgió por primera vez como un nuevo cargador que se difundió a través de campañas de spam en septiembre. El malware es conocido por enviar sus correos electrónicos maliciosos como cadenas de correo electrónico preexistentes.
Las intrusiones observadas por los investigadores se originaron en servidores de Microsoft Exchange en las instalaciones que parecían ser vulnerables a ProxyLogon y ProxyShell. Según los investigadores, hubo evidencia de los exploits en las vulnerabilidades CVE-2021-26855 , CVE-2021-34473 y CVE-2021-34523 en los registros de IIS en tres de los servidores de Exchange que se vieron comprometidos en diferentes intrusiones.
«Los mismos CVE se utilizaron en las intrusiones de ProxyLogon ( CVE -2021-26855) y ProxyShell ( CVE -2021-34473 y CVE -2021-34523)». «Microsoft lanzó un parche para ProxyLogon en marzo; aquellos que han aplicado las actualizaciones de mayo a julio están protegidos de las vulnerabilidades de ProxyShell», dijeron los investigadores. 1
En un caso, todos los usuarios internos de la red afectada recibieron correos electrónicos no deseados enviados como respuestas legítimas a hilos de correo electrónico existentes.
Cada vez más reales
«Todos los correos electrónicos observados se escribieron en inglés para esta campaña de spam en Oriente Medio. Si bien se utilizaban otros idiomas en diferentes regiones, la mayoría se escribían en inglés. Más notablemente, se usaban nombres de cuentas verdaderos del dominio de la víctima como remitente y destinatario. Esto aumenta la posibilidad de que un destinatario haga clic en el enlace y abra las hojas de cálculo maliciosas de Microsoft Excel».
En la misma situación, los investigadores analizaron los encabezados de los correos maliciosos y encontraron que la ruta del correo era interna. Esto indica que los correos electrónicos no se originaron en un remitente externo, retransmisor o cualquier agente de transferencia de mensajes.
Los investigadores dijeron que los piratas tampoco soltaron ni utilizaron herramientas para el movimiento lateral después de tener acceso a los servidores de Exchange vulnerables para evitar ser detectados. Además, no se ejecutó ningún malware en los servidores de Exchange para evitar activar alertas antes de que el correo malicioso se propagase en el entorno.