Den pludselige zip-fil i e-mail-tråden kunne være malware

July 15, 2022
INyheder Internetsikkerhed

Angribere bag en adgangskode, der stjæler malware, bruger innovative metoder til at få folk til at åbne ondsindede e-mails.
Angriberne bruger en kontakts hackede indbakke til at indsætte de malware-fyldte vedhæftede filer i igangværende e-mail-samtaler.
Sikkerhedsforskere foreslår, at angrebet understreger det faktum, at folk ikke blindt bør åbne vedhæftede filer, heller ikke dem fra kendte kontakter.

Cybersikkerhed, phishing, e-mail, netværkssikkerhed, computerhacker, cloud computing, ransomware — Just_Super / Getty Images

Det kan virke underligt, når din ven hopper ind i en e-mail-samtale med en vedhæftet fil, som du halvt havde forventet, men tvivl om meddelelsens legitimitet kan redde dig fra farlig malware.

Sikkerhedseksperter hos Zscaler har delte detaljer om trusselsaktører, der bruger nye metoder i et forsøg på at omgå opdagelse, for at cirkulere en potent adgangskode, der stjæler malware kaldet Qakbot. Cybersikkerhedsforskere er alarmerede over angrebet, men ikke overraskede over angribere, der forfiner deres teknikker.

"Cyberkriminelle opdaterer konstant deres angreb for at forsøge at undgå opdagelse og i sidste ende nå deres mål,"

Jack Chapman, VP for Threat Intelligence kl Udgang, fortalte Lifewire over e-mail. "Så selvom vi ikke ved specifikt, hvad de vil prøve næste gang, ved vi, at der altid vil være en næste gang, og at angreb konstant udvikler sig."

Friendly Neighborhood Hacker

I deres indlæg gennemgår Zscaler de forskellige sløringsteknikker, som angriberne anvender for at få ofre til at åbne deres e-mail.

Dette omfatter brug af lokkende filnavne med almindelige formater, såsom .ZIP, til at narre ofre til at downloade de ondsindede vedhæftede filer.

Tilsløring af malware har været en populær taktik i mange år nu, delte Chapman og sagde, at de har set angreb skjult i adskillige forskellige filtyper, inklusive PDF'er og alle Microsoft Office-dokumenter type.

"Sofistikerede cyberangreb er udviklet til at have den bedst mulige chance for at nå deres mål," sagde Chapman.

Zscaler eksempel-e-mail, der viser en mistænkelig vedhæftet fil — Zscaler

Interessant nok bemærker Zscaler, at de ondsindede vedhæftede filer er indsat som svar i aktive e-mail-tråde. Igen er Chapman ikke overrasket over den sofistikerede sociale teknik, der er på spil i disse angreb. "Når angrebet har nået målet, har den cyberkriminelle brug for, at de skrider til handling - i dette tilfælde for at åbne den vedhæftede e-mail," fortalte Chapman.

Keegan Keplinger, Research and Reporting Lead kl eSentire, som opdagede og blokerede et dusin Qakbot-kampagnehændelser alene i juni, pegede også på brugen af kompromitterede e-mail-indbakker som et højdepunkt i angrebet.

"Qakbots tilgang omgår kontrol af menneskelig tillid, og brugere er mere tilbøjelige til at downloade og udføre nyttelasten, og tro, at den er fra en pålidelig kilde," sagde Keplinger til Lifewire via e-mail.

Adrien Gendre, Chief Tech and Product Officer hos Vade Secure, påpegede, at denne teknik også blev brugt i 2021's Emotet-angreb.

"Brugere er almindeligvis oplært til at lede efter forfalskede e-mailadresser, men i et tilfælde som dette kan man inspicere afsenderens adresse ville ikke være nyttig, fordi det er en legitim, om end kompromitteret, adresse," sagde Gendre til Lifewire i en e-mail diskussion.

Nysgerrighed dræbte katten

Chapman siger, at ud over at drage fordel af det allerede eksisterende forhold og tillid, der er bygget mellem de involverede mennesker, angriberes brug af almindelige filtyper og udvidelser resulterer i, at modtagere er mindre mistænksomme og mere tilbøjelige til at åbne disse vedhæftede filer.

Paul Baird, Chief Technical Security Officer UK kl Qualys, bemærker, at selvom teknologi bør blokere disse typer angreb, vil nogle altid slippe igennem. Han foreslår, at det at holde folk opmærksomme på aktuelle trusler på et sprog, de forstår, er den eneste måde at bremse spredningen på.

"Brugere bør være opmærksomme på, og blive oplært, at selv en betroet e-mailadresse kan være ondsindet, hvis den kompromitteres," sagde Gendre. "Dette gælder især, når en e-mail indeholder et link eller en vedhæftet fil."

Zscaler eksempel-e-mail, der viser, hvordan Qakbot fungerer i e-mail — Zscaler

Gendre foreslår, at folk bør læse deres e-mails omhyggeligt for at sikre, at afsendere er, som de hævder at være. Han påpeger, at e-mails, der sendes fra kompromitterede konti, ofte er korte og præcise med meget direkte anmodninger, hvilket er en god grund til at markere e-mailen som mistænkelig.

Derudover påpeger Baird, at e-mails sendt af Qakbot normalt vil blive skrevet anderledes, hvornår sammenlignet med de samtaler du normalt har med dine kontakter, hvilket burde fungere som endnu en advarsel skilt. Før du interagerer med vedhæftede filer i en mistænkelig e-mail, foreslår Baird, at du opretter forbindelse til kontakten ved hjælp af en separat kanal for at bekræfte ægtheden af meddelelsen.

"Hvis du får nogen e-mail [med] filer [du] ikke forventer, så lad være med at se på dem," er Bairds enkle råd. "Sætningen 'Nysgerrigheden dræbte katten' gælder for alt, hvad du får via e-mail."