Interne E-Mails: Hacker nutzen Exchange-Lücke mit fiesem Trick aus

Sicherheitsexperten haben entdeckt, dass die Squirrelwaffle-Malware mit einem neuen Trick sogenannte Ketten-Infektionen in Netzwerken auslöst. Dabei haben die Opfer den Eindruck, sie erhalten eine E-Mail aus ihrem Netzwerk, dabei hat sich der Trojaner nur gut versteckt. Das geht aus einem Bericht von Trend Micro hervor (via Bleeping Computer). Bedrohungsakteure hacken dabei Microsoft Exchange-Server mithilfe von bereits seit Monaten bekannten ProxyShell- und ProxyLogon-Exploits. Das Ziel ist, diverse Malware zu verteilen und die Erkennung der Manipulation durch gestohlene interne Antwortketten-E-Mails zu umgehen. Gemeint ist damit, dass die Hacker Reply-E-Mails nutzen, sich also in eine bestehende Konversation mit "einschalten". Für die Opfer ist es daher noch viel schwieriger zu erkennen, dass sie angegriffen werden. Infografik Oft gehört - nie genutzt: Schutzmaßnahmen im Internet

Manipulierte Excel-Anhänge

Squirrelwaffle ist dabei dazu da, verschiedene andere Malware einzuschleusen. Ausgenutzt werden dafür Schwachstellen im Exchange Server. Die Infizierung mit Schadprogrammen erfolgt dann über manipulierte Microsoft Excel-Anhänge. Vor solchen Anhängen wird zwar immer wieder gewarnt, doch dadurch, dass sich Squirrelwaffle nun an bereits bestehende E-Mail-Verläufe mit anhängt, werden die Opfer sehr viel leichtsinniger beim Download und beim Öffnen der bösartigen Anhänge.

Die Bedrohungsakteure nutzen kompromittierte Exchange-Server, um auf die internen E-Mails des Unternehmens in Antwortketten-Angriffen zu antworten, die Links zu bösartigen Dokumenten enthalten, die verschiedene Malware installieren.

"Bei demselben Einbruch haben wir die E-Mail-Header der empfangenen bösartigen E-Mails analysiert. Der E-Mail-Pfad war intern (zwischen den drei internen Exchange-Server-Postfächern), was darauf hindeutet, dass die E-Mails nicht von einem externen Absender, einem offenen Mail-Relay oder einem Message Transfer Agent (MTA) stammen", heißt es in dem Bericht von Trend Micro. Sind die Hacker erst einmal in das Netzwerk vorgedrungen, können sie mithilfe von Squirrelwaffle dann beliebige Schadprogramme laden und installieren.

Da diese E-Mails aus demselben internen Netzwerk stammen und den Anschein erwecken, dass es sich um die Fortsetzung einer früheren Diskussion zwischen zwei Mitarbeitern handelt, besteht ein größeres Vertrauen in die Rechtmäßigkeit und Sicherheit der E-Mail.

Die Forscher von Trend Micro haben diese interessante neue Taktik vor Kurzem entdeckt und befürchten nun eine neue Welle an Hacks.

Download RogueKiller - Malware aufspüren & entfernen Download Malwarebytes Schutz vor Schadsoftware Siehe auch: Microsoft, Cloud, E-Mail, Office 365, microsoft 365, Exchange, Cloud Computing, Exchange Server, Microsoft 365 Business, Microsoft Cloud, Microsoft Exchange, Microsoft 365 für Unternehmen, Exchange online, Mailserver, Exchange Logo, Microsoft Exchange Online, Microsoft Exchange Online Logo, E-Mail Server, Cloud Hosting