Ataques basados en ProxyLogon y ProxyShell cada vez más activos en las campañas de SPAM

El Equipo de investigadores de Trend Micro, han realizado un análisis sobre una serie de intrusiones en Oriente Medio que culminaron con la distribución de un cargador (“loader”) nunca antes visto apodado SQUIRRELWAFFLE. Documentado por primera vez por Cisco Talos, se cree que los ataques comenzaron a mediados de septiembre de 2021 a través de documentos de Microsoft Office adulterados.

ProxyLogon y ProxyShell hacen referencia a un conjunto de fallos en los servidores Microsoft Exchange que podrían permitir a un atacante elevar privilegios y ejecutar código arbitrario de forma remota, lo que le permitiría tomar el control de las máquinas vulnerables. Mientras que los fallos de ProxyLogon se solucionaron en marzo, los de ProxyShell se parchearon en una serie de actualizaciones publicadas en mayo y julio.

Vulnerabilidades de Microsoft Exchange

Durante los análisis realizados se han obtenido evidencias de los exploits de las vulnerabilidades CVE-2021-26855, CVE-2021-34473 y CVE-2021-34523 en los registros de IIS en los servidores Exchange que fueron comprometidos en diferentes intrusiones. Los mismos CVE se utilizaron en las intrusiones ProxyLogon (CVE-2021-26855) y ProxyShell (CVE-2021-34473 y CVE-2021-34523). Microsoft publicó un parche para ProxyLogon en marzo; quienes hayan aplicado las actualizaciones de mayo o julio están protegidos contra las vulnerabilidades de ProxyShell.

Correo malicioso (SPAM)

La cadena de ataque consiste en mensajes de correo electrónico fraudulentos que contienen un enlace que, al hacer clic, descarga un archivo de Microsoft Excel o Word. Al abrir el documento, el destinatario habilita las macros, lo que en última instancia conduce a la descarga y ejecución del cargador («loader») de malware SQUIRRELWAFFLE, que actúa como medio para obtener las cargas útiles de la fase final, como Cobalt Strike y Qbot.

Ver información original al respecto en Fuente>