Sophos identifica que um servidor Microsoft Exchange vulnerável foi atingido por Squirrelwaffle

A Sophos, empresa global em cibersegurança de próxima geração, anuncia que a equipe do Sophos Rapid Response recentemente investigou o incidente no qual o instalador, ou loader de malware Squirrelwaffle foi utilizado, em conjunto com os exploits ProxyLogon e ProxyShell, para atingir um servidor Microsoft Exchange vulnerável. Os invasores aproveitaram a brecha para distribuir o software malicioso em massa para destinatários internos e externos, inserindo respostas maliciosas nos agrupamentos de e-mail existentes dos funcionários da empresa atacada, conhecido como sequestro de encadeamento de e-mail.

A Sophos já havia encontrado esta abordagem anteriormente, mas, neste caso, havia algo novo. Os investigadores do incidente descobriram que enquanto a campanha de spam malicioso estava sendo implementada, o mesmo servidor vulnerável também era usado para um ataque de fraude financeira usando o conteúdo extraído de um encadeamento de e-mails roubado.

Sobre o malware
O Squirrelwaffle é um instalador de malware que pode ser distribuído como um documento malicioso em campanhas de spam. Ele fornece aos cibercriminosos um espaço inicial no ambiente da vítima e um canal para adicionar e infectar sistemas com outros malwares. No momento em que os destinatários abrem um documento infectado por Squirrelwaffle e habilitam padrões macros de programação, um script visual básico baixa e executa a rede Cobalt Strike Beacons, dando o controle do computador ao cibercriminoso.

A reviravolta
Em um ataque típico por meio do Squirrelwaffle, que utiliza um servidor Exchange vulnerável como ponto de penetração, o ataque é encerrado quando os defensores identificam e mitigam a violação, corrigindo as vulnerabilidades e removendo a capacidade do invasor de enviar mensagens eletrônicas pelo servidor.

No incidente investigado pelo time da Sophos Rapid Response, essa mesma correção não seria suficiente para solucionar o ataque de fraude financeira, pois os criminosos haviam exportado um e-mail sobre pagamentos de clientes do servidor Exchange da vítima. Além disso, conforme observado pela Sophos, a aplicação de patches não é a solução final para remediar problemas de servidores Exchange vulneráveis – é necessário investigar a fundo para checar se houve outros impactos, como a instalação de interface web shell.

A partir dos dados obtidos, os invasores registraram um domínio “typo-squatted” – que aparenta ser da própria vítima, mas com um pequeno erro de digitação – que foi utilizado para responder ao e-mail clickbait. Além disso, mover a conversa para fora da infraestrutura de e-mail da vítima deu aos invasores o controle operacional sobre os desdobramentos do caso.

Eles responderam ao tópico de e-mail usando endereços do domínio com erros de digitação e tentaram direcionar os pagamentos do cliente da vítima para eles mesmos. Para adicionar mais legitimidade à conversa, os cibercriminosos copiaram outros endereços de e-mail para dar a impressão de que estavam solicitando suporte de um departamento interno. Na verdade, os endereços adicionais também foram criados sob esse domínio typo-squatted (sequestro de URL, um site sting ou um URL falso).

Os invasores prepararam o cenário para que uma transação financeira legítima fosse redirecionada para uma conta bancária sob seu controle. Em seguida, um e-mail de acompanhamento fez referência aos novos detalhes bancários e tentou criar um senso de urgência. Os atacantes acompanharam tudo de perto pelos seis dias subsequentes, mostrando cada vez mais agitação. Por fim, o invasor mudou de tom após receber um e-mail indicando que o pagamento estava sendo processado.

Os atacantes quase atingiram seu objetivo, inclusive a organização foco do golpe iniciou a transferência de dinheiro para os cibercriminosos. No entanto, uma das instituições financeiras envolvidas na transação sinalizou a movimentação como fraudulenta e, portanto, não foi concluída.

Proteção contra ataques de e-mail maliciosos
O principal passo que os defensores podem tomar para evitar o comprometimento de servidores locais do Microsoft Exchange é garantir que eles tenham sido corrigidos com as atualizações mais recentes da própria Microsoft.

Assim, fica mais fácil para outras organizações determinarem a legitimidade de e-mails provenientes de seu domínio, por exemplo, implementando padrões reconhecidos pelo setor para autenticação de e-mail, como Sender Policy Framework, SPF, DomainKeys Identified Mail, DKIM, e Relatório de Conformidade de Autenticação de Mensagem de Domínio, Dmarc. O uso desses padrões pode dificultar o envio de e-mails falsos para um cibercriminoso que se passe pelo domínio de outra pessoa.

À medida que os invasores se tornam cada vez mais habilidosos em engenharia social, criando iscas sofisticadas de phishing e mensagens de representação, talvez seja a hora de começar a usar produtos de segurança de e-mail com inteligência artificial integrada.

Por último, mas não menos importante, é indispensável proteger os destinatários desses e-mails e garantir que os usuários das organizações possam detectar tentativas de phishing e saber como denunciá-las e respondê-las.

Orientações
Caso suspeite que foi alvo de um Squirrelwaffle ou de um ataque de fraude financeira, existem algumas práticas que podem ser seguidas.

– Utilizar o Guia de Incidentes Squirrelwaffle do Sophos Rapid Response para ajudar a investigar, analisar e responder a um incidente envolvendo o Squirrelwaffle;

– Implementar um plano de resposta a incidentes. Caso não tenha um ou ache que não tem os recursos certos para conter e neutralizar o ataque, entre em contato com uma equipe terceirizada de resposta a incidentes, como o Sophos Rapid Response;

– Obter patch de atualizações. É fundamental atualizar o software em qualquer servidor Microsoft Exchange local vulnerável – e verificar após a aplicação desses patches se existem web shells deixados pelos invasores para acesso posterior;

– Se o domínio tiver sido objeto de erro de digitação, é possível registrar uma reclamação de abuso. Esse processo varia de acordo com o registrador de domínio;

– Se uma campanha de spam maliciosa foi realizada a partir do servidor Exchange comprometido, é necessário verificar se o domínio legítimo ou a infraestrutura de e-mail da organização foram sinalizados como remetentes de spam. Assim, é importante, também, conferir se você foi colocado na lista proibida. É possível pedir para ser removido, mas às vezes vale a pena permanecer nela até que nenhum outro spam seja detectado no domínio, pois isso pode ajudar a evitar que alguns e-mails legítimos sejam entregues inadvertidamente a destinatários externos.

A combinação de Squirrelwaffle, ProxyLogon e ProxyShell foi encontrada pela equipe Sophos Rapid Response diversas vezes nos últimos meses, mas esta é a primeira vez que se registra um caso de invasores usarem typo-squatting para manter a capacidade de enviar spam uma vez que o Exchange servidor foi corrigido.