Son zamanlarda IcedID zararlı yazılımını dağıtmak için yeni eposta saldırılarında atış görülmeye başlandı. IcedID, ilk olarak 2017’de tespit edilen ve fidye yazılımları dağıtmak için kullanılan modüler bir bankacılık truva atı.
Zararlı, conversation hijacking attack düzenlemek için e-posta hesaplarının kontrolünü alıyor ve ardından phishing mailleri gönderiyor. Saldırganlar kimlik bilgilerini çalmak için dışarıya açık ve güncelleme yapılmamış Microsoft Exchange sunucularını hedef alıyor.
IcedID GZiploader, binary dosyasının kaynak bölümünde şifreli bir biçimde saklanıyor ve kod çözüldükten sonra belleğe yerleşiyor. Ardından ana bilgisayarın temel sistem bilgileri bir HTTP GET isteği aracılığıyla C2’ye gönderiliyor.
Exchange sunucularınızı güncelleyin
Microsoft’un ProxyLogon ve ProxyShell güvenlik açıkları için güncellemeler yayınlamasının üzerinden yaklaşık bir yıl geçti ancak hala güncelleme yapılmamış sistemler mevcut. Bu nedenle güncellemelerin zaman kaybedilmeden yapılması büyük önem taşıyor.
Kaynak: bleepingcomputer.com