Belangrijkste afhaalrestaurants
- Aanvallers achter een wachtwoord-stelende malware gebruiken innovatieve methoden om mensen ertoe te brengen kwaadaardige e-mails te openen.
- De aanvallers gebruiken de gehackte inbox van een contactpersoon om de met malware beladen bijlagen in lopende e-mailconversaties in te voegen.
-
Beveiligingsonderzoekers suggereren dat de aanval het feit onderstreept dat mensen bijlagen niet blindelings mogen openen, zelfs niet die van bekende contacten.
Het lijkt misschien vreemd wanneer je vriend in een e-mailgesprek springt met een bijlage die je half verwachtte, maar twijfelen aan de legitimiteit van het bericht kan je redden van gevaarlijke malware.
Security-speurneuzen bij Zscaler hebben details gedeeld over bedreigingsactoren die nieuwe methoden gebruiken in een poging om detectie te omzeilen, om een krachtige wachtwoordstelende malware genaamd Qakbot te verspreiden. Cybersecurity-onderzoekers zijn gealarmeerd door de aanval, maar niet verrast door aanvallers die hun technieken verfijnen.
"Cybercriminelen werken hun aanvallen voortdurend bij om detectie te voorkomen en uiteindelijk hun doelen te bereiken", vertelde Jack Chapman, VP van Threat Intelligence bij Egress, via e-mail aan Lifewire. "Dus zelfs als we niet specifiek weten wat ze hierna zullen proberen, weten we dat er altijd een volgende keer zal zijn en dat aanvallen voortdurend evolueren."
Vriendelijke buurthacker
In hun bericht doorloopt Zscaler de verschillende verduisteringstechnieken die de aanvallers gebruiken om slachtoffers ertoe te brengen hun e-mail te openen.
Dit omvat het gebruik van verleidelijke bestandsnamen met veelvoorkomende formaten, zoals. ZIP, om slachtoffers te misleiden om de kwaadaardige bijlagen te downloaden.
Malware verduisteren is al vele jaren een populaire tactiek, vertelde Chapman, en zei dat ze aanvallen hebben gezien die verborgen waren in tal van verschillende bestandstypen, waaronder pdf's en elk Microsoft Office-documenttype.
"Geavanceerde cyberaanvallen zijn ontworpen om de best mogelijke kans te hebben om hun doelen te bereiken", aldus Chapman.
Interessant is dat Zscaler opmerkt dat de kwaadaardige bijlagen worden ingevoegd als antwoorden in actieve e-mailthreads. Opnieuw is Chapman niet verrast door de geavanceerde social engineering die bij deze aanvallen een rol speelt. "Zodra de aanval het doelwit heeft bereikt, moet de cybercrimineel actie ondernemen, in dit geval de e-mailbijlage openen", vertelde Chapman.
Keegan Keplinger, Research and Reporting Lead bij eSentire, dat alleen al in juni een dozijn Qakbot-campagne-incidenten detecteerde en blokkeerde, wees ook op het gebruik van gecompromitteerde e-mailinboxen als een hoogtepunt van de aanval.
"De aanpak van Qakbot omzeilt menselijke vertrouwenscontroles, en gebruikers zullen eerder de payload downloaden en uitvoeren, omdat ze denken dat het van een vertrouwde bron is", vertelde Keplinger Lifewire via e-mail.
Adrien Gendre, Chief Tech en Product Officer bij Vade Secure, wees erop dat deze techniek ook werd gebruikt bij de Emotet-aanvallen van 2021.
"Gebruikers zijn gewoonlijk getraind om vervalste e-mailadressen te zoeken, maar in een geval als dit zou het niet helpen om het adres van de afzender te inspecteren omdat het een legitiem, zij het gecompromitteerd adres is", vertelde Gendre aan Lifewire in een e-maildiscussie.
Nieuwsgierigheid doodde de kat
Chapman zegt dat naast het profiteren van de reeds bestaande relatie en het vertrouwen dat is opgebouwd tussen de betrokken personen, het gebruik van veelvoorkomende bestandstypen en extensies door aanvallers ertoe leidt dat ontvangers minder achterdochtig zijn en meer geneigd zijn om deze bijlagen te openen.
Paul Baird, Chief Technical Security Officer UK bij Qualys, merkt op dat hoewel technologie dit soort aanvallen zou moeten blokkeren, sommige er altijd door zullen glippen. Hij suggereert dat het de enige manier is om de verspreiding in te dammen door mensen op de hoogte te houden van de huidige bedreigingen in een taal die ze begrijpen.
"Gebruikers moeten oppassen en worden getraind dat zelfs een vertrouwd e-mailadres kwaadaardig kan zijn als het wordt gecompromitteerd", beaamt Gendre. "Dit is vooral het geval wanneer een e-mail een link of een bijlage bevat."
Gendre stelt voor dat mensen hun e-mails aandachtig moeten lezen om er zeker van te zijn dat de afzenders zijn wie ze beweren te zijn. Hij wijst erop dat e-mails die worden verzonden vanaf gecompromitteerde accounts vaak kort en to the point zijn met zeer botte verzoeken, wat een goede reden is om de e-mail als verdacht te markeren.
Bovendien wijst Baird erop dat de e-mails die door Qakbot worden verzonden, normaal gesproken anders zullen worden geschreven in vergelijking met de gesprekken die u gewoonlijk met uw contacten voert, wat als een ander waarschuwingssignaal zou moeten dienen. Alvorens te reageren op bijlagen in een verdachte e-mail, stelt Baird voor dat u contact opneemt met de contactpersoon via een apart kanaal om de authenticiteit van het bericht te verifiëren.
"Als je een e-mail [met] bestanden [die je] niet verwacht, kijk er dan niet naar", is het eenvoudige advies van Baird. "De uitdrukking 'Nieuwsgierigheid heeft de kat vermoord' is van toepassing op alles wat je via e-mail ontvangt."