ANY.RUN rileva attacco su vasta scala

I dettagli dell'attacco includono:

• Vettore iniziale: L'attacco inizia con un'email contenente un allegato ZIP e il messaggio "I sent a material your side last day, have you able to get it?" disponibile sia in inglese che in tedesco.
• Contenuto dell'archivio: L'archivio ZIP contiene due file, uno dei quali è una pagina HTML.
• Pagina HTML: La pagina HTML utilizza un template di 450 byte e reindirizza a un file su un server esterno tramite il protocollo SMB, ma solo se il file HTML locale viene aperto.
• Server degli attaccanti: Gli attaccanti hanno configurato il server SMB utilizzando impacket-smbserver sui loro server.
• Dati raccolti: Quando il documento HTML viene aperto, gli attaccanti ricevono dati dell'utente come l'indirizzo IP, i dati della challenge NTLM, il nome utente e il nome computer della vittima.

Le tecniche utilizzate nell'attacco sono classificate secondo MITRE come:

• Phishing (T1566)
• Enumerazione di nome utente e PC (T1589)
• Compromissione NTLM (T1187)

Fonte: ANY.RUN