Аналитики угроз Microsoft отслеживают активность, когда контактные формы, опубликованные на веб-сайтах, используются для доставки вредоносных ссылок предприятиям с использованием электронных писем с поддельными юридическими угрозами. В электронных письмах получателям предлагается щелкнуть ссылку, чтобы просмотреть предполагаемые доказательства, лежащие в основе их обвинений, но вместо этого они загружают IcedID, вредоносное ПО для кражи информации. Эта угроза примечательна тем, что:

1.Злоумышленники злоупотребляют законной инфраструктурой, такой как контактные формы веб-сайтов, для обхода средств защиты, что делает эту угрозу очень уклончивой. Кроме того, злоумышленники используют законные URL-адреса, в данном случае URL-адреса Google, которые требуют, чтобы цели входили в систему с учетными данными Google.

2.Электронные письма используются для доставки вредоносного ПО IcedID, которое может использоваться для разведки и кражи данных и может привести к дополнительным вредоносным программам, включая программы-вымогатели.

3.Эта угроза показывает, что злоумышленники всегда ищут пути атаки для проникновения в сети, и они часто нацелены на службы, доступные в Интернете. Организации должны обеспечить защиту от таких угроз.

 В то время как эта конкретная кампания доставляет вредоносное ПО IcedID, этот метод доставки может использоваться для распространения широкого спектра других вредоносных программ, которые, в свою очередь, могут представлять другие угрозы для предприятия. Сам IcedID - это банковский троян, который превратился в точку входа для более сложных угроз, включая программы-вымогатели, управляемые человеком. Он подключается к серверу управления и контроля и загружает дополнительные имплантаты и инструменты, которые позволяют злоумышленникам выполнять атаки с клавиатуры, красть учетные данные и перемещаться по пораженным сетям для доставки дополнительных полезных нагрузок.

Веб-сайты обычно содержат страницы контактной формы, позволяющие посетителям общаться с владельцами сайтов, устраняя необходимость раскрывать свой адрес электронной почты потенциальным спамерам.Однако в ходе этой кампании мы наблюдали приток электронных писем с контактными формами, нацеленных на предприятия, из-за злоупотребления контактными формами компаний. Это указывает на то, что злоумышленники могли использовать инструмент, автоматизирующий этот процесс, в обход защиты CAPTCHA.

В этой кампании мы отслеживали, что вредоносное электронное письмо, которое поступает в почтовый ящик получателя из запроса контактной формы, выглядит заслуживающим доверия, поскольку оно было отправлено из надежных систем электронного маркетинга, что дополнительно подтверждает его легитимность, избегая обнаружения. Поскольку электронные письма исходят из собственной контактной формы получателя на его веб-сайте, шаблоны электронной почты соответствуют тому, что они ожидают от реального взаимодействия с клиентом или запроса.

По мере того как злоумышленники заполняют и отправляют веб-форму, соответствующему получателю контактной формы или целевому предприятию создается сообщение электронной почты, содержащее созданное злоумышленником сообщение. В сообщении используется строгий и неотложный язык («Загрузите его прямо сейчас и проверьте это сами») и заставляет получателя действовать немедленно, в конечном итоге вынуждая получателей щелкать ссылки, чтобы избежать предполагаемого судебного иска.