Cybercriminelen hebben een nieuwe phishingcampagne opgezet waarbij ze medewerkers van financiële en gezondheidsorganisaties benaderen via Microsoft Teams. Het doel: slachtoffers overtuigen om op afstand toegang te geven tot hun pc, waarna een nieuwe malwarevariant met de naam A0Backdoor wordt geïnstalleerd.
De aanval combineert social engineering met legitieme Windows-tools, waardoor de activiteit op het eerste gezicht moeilijk te herkennen is als kwaadaardig. Opvallend is dat de aanvallers de malware via Microsoft Teams proberen binnen te smokkelen.
Volgens onderzoekers van beveiligingsbedrijf BlueVoyant begint de aanval met een eenvoudige maar doeltreffende truc. Slachtoffers krijgen eerst een golf aan spam in hun mailbox. Kort daarna neemt de aanvaller contact op via Microsoft Teams en doet zich voor als een medewerker van de IT-afdeling. De zogenaamde IT-medewerker biedt hulp aan om het spamprobleem op te lossen.
Tijdens dat gesprek wordt het slachtoffer gevraagd om een remote sessie te starten via Quick Assist, een ingebouwde tool in Microsoft Windows waarmee iemand op afstand ondersteuning kan bieden. Zodra de aanvaller toegang krijgt tot het systeem, installeert hij een reeks tools die uiteindelijk de A0Backdoor-malware activeren.
De kwaadaardige bestanden worden verspreid via digitaal ondertekende MSI-installers die opgeslagen staan in een persoonlijk cloudaccount van Microsoft. De bestanden doen zich voor als onderdelen van Microsoft Teams of als CrossDeviceService, een legitieme Windows-component die gebruikt wordt door de Phone Link-app.
De aanvallers maken gebruik van een techniek die bekendstaat als DLL sideloading. Daarbij wordt een legitiem Microsoft-programma gestart, maar laadt dat programma stiekem een kwaadaardige bibliotheek, in dit geval een gemanipuleerde hostfxr.dll. Die bibliotheek bevat gecomprimeerde of versleutelde data. Wanneer ze in het geheugen geladen wordt, ontsleutelt de code zichzelf en start het kwaadaardige programma.
De onderzoekers merkten op dat de malware ook de Windows-functie CreateThread gebruikt om een groot aantal threads te starten. Dat kan ervoor zorgen dat analysetools of debuggers vastlopen, al heeft het weinig impact wanneer de malware normaal wordt uitgevoerd.
De schadelijke code controleert eerst of ze in een sandbox draait en genereert daarna een sleutel op basis van een SHA-256-hash. Daarmee wordt de eigenlijke A0Backdoor-payload ontsleuteld, die op zijn beurt versleuteld is met het AES-algoritme. Daarna verzamelt de malware systeeminformatie via verschillende Windows-API’s, zoals functies om de computernaam en gebruikersnaam op te vragen. Zo kan het systeem nauwkeurig worden geïdentificeerd.
De communicatie met de command-and-controlserver gebeurt op een vrij ongebruikelijke manier: via DNS-verkeer. De malware stuurt DNS-MX-queries naar publieke resolvers, waarbij metadata verborgen zit in de subdomeinen. De server antwoordt met MX-records waarin gecodeerde commando’s staan. Omdat veel beveiligingssystemen vooral letten op andere vormen van DNS-tunneling, kan deze methode makkelijker onder de radar blijven.
BlueVoyant meldt dat minstens twee organisaties doelwit waren: een financiële instelling in Canada en een internationale gezondheidsorganisatie. Volgens de onderzoekers vertoont de campagne duidelijke gelijkenissen met tactieken van de beruchte ransomwaregroep BlackBasta. Die groep zou recent uiteengevallen zijn nadat interne chatlogs waren uitgelekt.
Toch bevat deze campagne ook nieuwe elementen, zoals het gebruik van digitaal ondertekende MSI-bestanden, de nieuwe A0Backdoor-malware en de communicatie via DNS-MX-records. Voorlopig zijn er nog geen Europese instellingen getroffen, maar waakzaamheid blijft in elk geval geboden.
Schrijf je in op onze nieuwsbrief en ontvang elke week het beste van Clickx in je mailbox.
Krijg Clickx magazine 10 keer per jaar (waarvan 2 extra dikke dubbelnummers) keurig thuisbezorgd.
