Pēkšņais ZIP fails e-pasta pavedienā varētu būt ļaunprātīga programmatūra

July 15, 2022
InJaunumi Internets Un Drošība

Uzbrucēji aiz paroles zagšanas ļaunprātīgas programmatūras izmanto novatoriskas metodes, lai liktu cilvēkiem atvērt ļaunprātīgus e-pastus.
Uzbrucēji izmanto kontaktpersonas uzlauzto iesūtni, lai pašreizējās e-pasta sarunās ievietotu pielikumus, kuros ir ļaunprātīga programmatūra.
Drošības pētnieki norāda, ka uzbrukums uzsver faktu, ka cilvēkiem nevajadzētu akli atvērt pielikumus, pat tos, kas iegūti no zināmiem kontaktiem.

Kiberdrošība, pikšķerēšana, e-pasts, tīkla drošība, datoru hakeris, mākoņdatošana, izpirkuma programmatūra — Just_Super / Getty Images

Tas var šķist dīvaini, ja jūsu draugs iesaistās e-pasta sarunā ar pielikumu, kuru jūs daļēji gaidījāt, taču šaubīšanās par ziņojuma likumību var pasargāt jūs no bīstamas ļaunprātīgas programmatūras.

Zscaler drošības sleuths ir kopīgota informācija par draudu dalībniekiem, kas izmanto jaunas metodes, mēģinot apiet atklāšanu, lai izplatītu spēcīgu paroles zādzību ļaunprātīgu programmatūru Qakbot. Kiberdrošības pētnieki ir satraukti par uzbrukumu, bet nav pārsteigti, ka uzbrucēji uzlabo savas metodes.

"Kibernoziedznieki pastāvīgi atjaunina savus uzbrukumus, lai mēģinātu izvairīties no atklāšanas un galu galā sasniegtu savus mērķus,"

Džeks Čepmens, draudu izlūkošanas viceprezidents plkst Izeja, stāstīja Lifewire pa e-pastu. "Tātad, pat ja mēs konkrēti nezinām, ko viņi mēģinās tālāk, mēs zinām, ka vienmēr būs nākamā reize un ka uzbrukumi nepārtraukti attīstās."

Draudzīgs apkārtnes hakeris

Savā ziņojumā Zscaler izpēta dažādas apmulsināšanas metodes, ko uzbrucēji izmanto, lai upuri atvērtu savu e-pastu.

Tas ietver vilinošu failu nosaukumu izmantošanu ar izplatītiem formātiem, piemēram, .ZIP, lai apmānītu upurus lejupielādēt ļaunprātīgos pielikumus.

Ļaunprātīgas programmatūras apmulsināšana ir bijusi populāra taktika jau daudzus gadus, dalījās Čepmens, sakot, ka viņi ir redzējuši uzbrukumi, kas paslēpti daudzos dažādos failu tipos, tostarp PDF failos un visos Microsoft Office dokumentos veids.

"Sarežģīti kiberuzbrukumi ir izstrādāti tā, lai tiem būtu vislabākās iespējas sasniegt savus mērķus," sacīja Čepmens.

Zscaler e-pasta piemērs, kurā ir redzams aizdomīgs pielikums — Zscaler

Interesanti, ka Zscaler atzīmē, ka ļaunprātīgie pielikumi tiek ievietoti kā atbildes aktīvajos e-pasta pavedienos. Atkal Čepmens nav pārsteigts par sarežģīto sociālo inženieriju, kas spēlē šajos uzbrukumos. "Kad uzbrukums ir sasniedzis mērķi, kibernoziedzniekam ir jārīkojas — šajā gadījumā jāatver e-pasta pielikums," dalījās Čepmens.

Kīgans Keplingers, pētniecības un ziņošanas vadītājs, plkst eSentire, kas jūnijā vien atklāja un bloķēja duci Qakbot kampaņas incidentu, arī norādīja uz apdraudētu e-pasta iesūtņu izmantošanu kā vienu no uzbrukuma galvenajiem aspektiem.

"Qakbot pieeja apiet cilvēku uzticības pārbaudes, un lietotāji, visticamāk, lejupielādēs un izpildīs lietderīgo slodzi, domājot, ka tā ir no uzticama avota," Keplingers pastāstīja Lifewire pa e-pastu.

Adriens Gendre, galvenais tehnoloģiju un produktu direktors plkst Vade Secure, norādīja, ka tika izmantota arī šī tehnika 2021. gada Emotet uzbrukumos.

"Lietotāji parasti tiek apmācīti meklēt viltotas e-pasta adreses, bet tādā gadījumā kā šis, pārbaudot sūtītāja adrese nebūtu noderīga, jo tā ir likumīga, kaut arī apdraudēta adrese," e-pastā Lifewire sacīja Gendre. diskusija.

Ziņkārība nogalināja kaķi

Čepmens saka, ka papildus jau pastāvošo attiecību un uzticības izmantošanai starp iesaistītajiem cilvēkiem, Ja uzbrucēji izmanto izplatītus failu tipus un paplašinājumus, saņēmēji kļūst mazāk aizdomīgi un biežāk atvērs šos pielikumus.

Pols Bērds, Apvienotās Karalistes galvenais tehniskās drošības speciālists, plkst Qualys, atzīmē, ka, lai gan tehnoloģijai būtu jābloķē šāda veida uzbrukumi, daži vienmēr izslīdēs cauri. Viņš norāda, ka vienīgais veids, kā ierobežot izplatību, ir informēt cilvēkus par pašreizējiem draudiem valodā, kuru viņi sapratīs.

"Lietotājiem ir jāuzmanās un jābūt apmācītiem, ka pat uzticama e-pasta adrese var būt ļaunprātīga, ja tā tiek apdraudēta," piekrita Gendre. "Tas jo īpaši attiecas uz gadījumiem, kad e-pastā ir saite vai pielikums."

Zscaler e-pasta piemērs, kas parāda, kā Qakbot darbojas e-pastā — Zscaler

Gendre iesaka cilvēkiem rūpīgi izlasīt savus e-pastus, lai pārliecinātos, ka sūtītāji ir tādi, par kādiem viņi apgalvo. Viņš norāda, ka e-pasta ziņojumi, kas nosūtīti no apdraudētiem kontiem, bieži ir īsi un ar ļoti rupjiem pieprasījumiem, kas ir labs iemesls, lai atzīmētu e-pastu kā aizdomīgu.

Papildinot to, Bērds norāda, ka Qakbot nosūtītie e-pasta ziņojumi parasti tiks rakstīti atšķirīgi salīdzinot ar sarunām, kuras parasti risat ar saviem kontaktiem, kam vajadzētu kalpot kā vēl viens brīdinājums zīme. Pirms mijiedarbības ar aizdomīga e-pasta pielikumiem Bērds iesaka izveidot savienojumu ar kontaktpersonu, izmantojot atsevišķu kanālu, lai pārbaudītu ziņojuma autentiskumu.

“Ja saņemat kādu e-pasta ziņojumu [ar] failiem, kurus [jūs] negaidāt, tad neskatieties uz tiem,” ir vienkāršs Bērda padoms. "Frāze" Zinātkāre nogalināja kaķi" attiecas uz visu, ko saņemat pa e-pastu."