A Sophos, empresa líder global em cibersegurança de próxima geração, anuncia que a equipe do Sophos Rapid Response recentemente investigou o incidente no qual o instalador (loader) de malware Squirrelwaffle foi utilizado, em conjunto com os exploits ProxyLogon e ProxyShell, para atingir um servidor Microsoft Exchange vulnerável. Os invasores aproveitaram a brecha para distribuir o malware em massa para destinatários internos e externos, inserindo respostas maliciosas nos agrupamentos de e-mail existentes dos funcionários da empresa atacada - conhecido como sequestro de encadeamento de e-mail.

A Sophos já havia encontrado esta abordagem anteriormente, mas, neste caso, havia algo novo acontecendo. Os investigadores do incidente descobriram que enquanto a campanha de spam malicioso estava sendo implementada, o mesmo servidor vulnerável também era usado para um ataque de fraude financeira usando o conteúdo extraído de um encadeamento de e-mails roubado.

Sobre o Squirrelwaffle

O Squirrelwaffle é um instalador de malware que pode ser distribuído como um documento malicioso em campanhas de spam. Ele fornece aos cibercriminosos um espaço inicial no ambiente da vítima e um canal para adicionar e infectar sistemas com outros malwares. No momento em que os destinatários abrem um documento infectado por Squirrelwaffle e habilitam padrões macros de programação, um script visual básico baixa e executa a rede Cobalt Strike Beacons, dando o controle do computador ao cibercriminoso.

A reviravolta

Em um ataque típico por meio do Squirrelwaffle, que utiliza um servidor Exchange vulnerável como ponto de penetração, o ataque é encerrado quando os defensores identificam e mitigam a violação, corrigindo as vulnerabilidades e removendo a capacidade do invasor de enviar e-mails pelo servidor.

No incidente investigado pelo time da Sophos Rapid Response, essa mesma correção não seria suficiente para solucionar o ataque de fraude financeira, pois os criminosos haviam exportado um e-mail sobre pagamentos de clientes do servidor Exchange da vítima. Além disso, conforme observado pela Sophos, a aplicação de patches não é a solução final para remediar problemas de servidores Exchange vulneráveis - é necessário investigar a fundo para checar se houve outros impactos, como a instalação de interface web shell.

A partir dos dados obtidos, os invasores registraram um domínio “typo-squatted” - que aparenta ser da própria vítima, mas com um pequeno erro de digitação - que foi utilizado para responder ao e-mail clickbait. Além disso, mover a conversa para fora da infraestrutura de e-mail da vítima deu aos invasores o controle operacional sobre os desdobramentos do caso.

Eles responderam ao tópico de e-mail usando endereços do domínio com erros de digitação e tentaram direcionar os pagamentos do cliente da vítima para eles mesmos. Para adicionar mais legitimidade à conversa, os cibercriminosos copiaram outros endereços de e-mail para dar a impressão de que estavam solicitando suporte de um departamento interno. Na verdade, os endereços adicionais também foram criados sob esse domínio "typo-squatted" (sequestro de URL, um site sting ou um URL falso).

Os invasores prepararam o cenário para que uma transação financeira legítima fosse redirecionada para uma conta bancária sob seu controle. Em seguida, um e-mail de acompanhamento fez referência aos novos detalhes bancários e tentou criar um senso de urgência. Os atacantes acompanharam tudo de perto pelos seis dias subsequentes, mostrando cada vez mais agitação. Por fim, o invasor mudou de tom após receber um e-mail indicando que o pagamento estava sendo processado.

Os atacantes quase atingiram seu objetivo, inclusive a organização foco do golpe iniciou a transferência de dinheiro para os cibercriminosos. No entanto, uma das instituições financeiras envolvidas na transação sinalizou a movimentação como fraudulenta e, portanto, não foi concluída.

Proteção contra ataques de e-mail maliciosos

O principal passo que os defensores podem tomar para evitar o comprometimento de servidores locais do Microsoft Exchange é garantir que eles tenham sido corrigidos com as atualizações mais recentes da própria Microsoft.

Assim, fica mais fácil para outras organizações determinarem a legitimidade de e-mails provenientes de seu domínio, por exemplo, implementando padrões reconhecidos pelo setor para autenticação de e-mail, como SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) e DMARC (Relatório de Conformidade de Autenticação de Mensagem de Domínio). O uso desses padrões pode dificultar o envio de e-mails falsos para um cibercriminoso que se passe pelo domínio de outra pessoa.

À medida que os invasores se tornam cada vez mais habilidosos em engenharia social, criando iscas sofisticadas de phishing e mensagens de representação, talvez seja a hora de começar a usar produtos de segurança de e-mail com inteligência artificial integrada.

Por último, mas não menos importante, é indispensável proteger os destinatários desses e-mails e garantir que os usuários das organizações possam detectar tentativas de phishing e saber como denunciá-las e respondê-las.

Fui atacado – e agora?

Caso suspeite que foi alvo de um Squirrelwaffle ou de um ataque de fraude financeira, existem algumas práticas que podem ser seguidas.

- Utilizar o Guia de Incidentes Squirrelwaffle do Sophos Rapid Response para ajudar a investigar, analisar e responder a um incidente envolvendo o Squirrelwaffle;
- Implementar um plano de resposta a incidentes. Caso não tenha um ou ache que não tem os recursos certos para conter e neutralizar o ataque, entre em contato com uma equipe terceirizada de resposta a incidentes, como o Sophos Rapid Response.
- Obter patch de atualizações. É fundamental atualizar o software em qualquer servidor Microsoft Exchange local vulnerável – e verificar após a aplicação desses patches se existem web shells deixados pelos invasores para acesso posterior;
- Se o domínio tiver sido objeto de erro de digitação, é possível registrar uma reclamação de abuso. Esse processo varia de acordo com o registrador de domínio;
- Se uma campanha de spam maliciosa foi realizada a partir do servidor Exchange comprometido, é necessário verificar se o domínio legítimo ou a infraestrutura de e-mail da organização foram sinalizados como remetentes de spam. Assim, é importante, também, conferir se você foi colocado na lista proibida. É possível pedir para ser removido, mas às vezes vale a pena permanecer nela até que nenhum outro spam seja detectado no domínio, pois isso pode ajudar a evitar que alguns e-mails legítimos sejam entregues inadvertidamente a destinatários externos.

Conclusão

A combinação de Squirrelwaffle, ProxyLogon e ProxyShell foi encontrada pela equipe Sophos Rapid Response diversas vezes nos últimos meses, mas esta é a primeira vez que se registra um caso de invasores usarem typo-squatting para manter a capacidade de enviar spam uma vez que o Exchange servidor foi corrigido.

Sobre a Sophos

A Sophos é líder mundial em cibersegurança de próxima geração, protegendo mais de 500.000 organizações e milhões de consumidores em mais de 150 países contra as ameaças cibernéticas mais avançadas da atualidade. Impulsionada por inteligência de ameaças, IA e machine learning da SophosLabs e SophosAI, oferece um amplo portfólio de produtos e serviços avançados para proteger usuários, redes e endpoints contra ransomware, malware, exploits, phishing e uma ampla gama de outros ataques cibernéticos. A Sophos fornece um único console de gerenciamento baseado em nuvem integrado, Sophos Central – a peça central de um ecossistema de segurança cibernética adaptável que apresenta um data lake centralizado que alavanca um conjunto rico de APIs abertas disponíveis para clientes, parceiros, desenvolvedores e outros fornecedores de cibersegurança. A Sophos vende seus produtos e serviços por meio de parceiros revendedores e provedores de serviços gerenciados (MSPs) em todo o mundo. A Sophos está sediada em Oxford, Reino Unido.