Dat plotselinge zip-bestand in de e-mailthread kan malware zijn

July 15, 2022
InNieuws Internet Beveiliging

Aanvallers achter wachtwoordstelende malware gebruiken innovatieve methoden om mensen ertoe te brengen kwaadaardige e-mails te openen.
De aanvallers gebruiken de gehackte inbox van een contactpersoon om de met malware beladen bijlagen in lopende e-mailgesprekken in te voegen.
Beveiligingsonderzoekers suggereren dat de aanval het feit onderstreept dat mensen bijlagen niet blindelings mogen openen, zelfs niet die van bekende contacten.

Cyberbeveiliging, phishing, e-mail, netwerkbeveiliging, computerhacker, cloud computing, ransomware — Just_Super / Getty Images

Het lijkt misschien vreemd wanneer je vriend in een e-mailgesprek springt met een bijlage die je half verwachtte, maar twijfelen aan de legitimiteit van het bericht kan je behoeden voor gevaarlijke malware.

Beveiligingsspeurneuzen bij Zscaler hebben gedeelde gegevens over bedreigingsactoren die nieuwe methoden gebruiken in een poging om detectie te omzeilen, om een krachtige wachtwoordstelende malware genaamd Qakbot te verspreiden. Cybersecurity-onderzoekers zijn gealarmeerd door de aanval, maar niet verrast door aanvallers die hun technieken verfijnen.

"Cybercriminelen werken hun aanvallen voortdurend bij om te proberen detectie te voorkomen en uiteindelijk hun doelen te bereiken." Jack Chapman, VP van Threat Intelligence bij uitgang, vertelde Lifewire via e-mail. "Dus zelfs als we niet specifiek weten wat ze hierna zullen proberen, weten we dat er altijd een volgende keer zal zijn en dat aanvallen voortdurend evolueren."

Vriendelijke buurthacker

In hun post doorloopt Zscaler de verschillende verduisteringstechnieken die de aanvallers gebruiken om slachtoffers ertoe te brengen hun e-mail te openen.

Dit omvat het gebruik van verleidelijke bestandsnamen met veelgebruikte formaten, zoals .ZIP, om slachtoffers te misleiden om de schadelijke bijlagen te downloaden.

Het verduisteren van malware is al vele jaren een populaire tactiek, deelde Chapman mee en zei dat ze het hebben gezien aanvallen verborgen in tal van verschillende bestandstypen, waaronder pdf's en elk Microsoft Office-document type.

"Geavanceerde cyberaanvallen zijn ontworpen om de best mogelijke kans te hebben om hun doelen te bereiken", zegt Chapman.

Zscaler voorbeeld e-mail met een verdachte bijlage — Zscaler

Interessant is dat Zscaler opmerkt dat de kwaadaardige bijlagen worden ingevoegd als antwoorden in actieve e-mailthreads. Nogmaals, Chapman is niet verrast door de geavanceerde social engineering die bij deze aanvallen een rol speelt. "Zodra de aanval het doelwit heeft bereikt, moet de cybercrimineel actie ondernemen, in dit geval de e-mailbijlage openen", zegt Chapman.

Keegan Keplinger, Onderzoeks- en Rapportageleider bij eSentire, dat alleen al in juni een dozijn Qakbot-campagne-incidenten detecteerde en blokkeerde, wees ook op het gebruik van gecompromitteerde e-mailinboxen als een hoogtepunt van de aanval.

"De aanpak van Qakbot omzeilt menselijke vertrouwenscontroles en gebruikers zijn eerder geneigd om de payload te downloaden en uit te voeren, omdat ze denken dat het van een vertrouwde bron komt", vertelde Keplinger via e-mail aan Lifewire.

Adrien Gendre, Chief Tech and Product Officer bij Vade Secure, wees erop dat deze techniek ook werd gebruikt in de Emotet-aanvallen van 2021.

"Gebruikers zijn gewoonlijk getraind om te zoeken naar vervalste e-mailadressen, maar in een geval als dit inspecteren ze de afzender adres zou niet nuttig zijn omdat het een legitiem, zij het gecompromitteerd adres is," vertelde Gendre Lifewire in een e-mail discussie.

Nieuwsgierigheid doodde de kat

Chapman zegt dat naast het profiteren van de reeds bestaande relatie en het vertrouwen dat is opgebouwd tussen de betrokken mensen, het gebruik van veelvoorkomende bestandstypen en extensies door aanvallers leidt ertoe dat ontvangers minder achterdochtig zijn en deze eerder openen bijlagen.

Paul Baird, Chief Technical Security Officer UK bij Qualys, merkt op dat hoewel technologie dit soort aanvallen zou moeten blokkeren, sommige er altijd door zullen glippen. Hij suggereert dat het de enige manier is om de verspreiding tegen te gaan door mensen op de hoogte te houden van de huidige bedreigingen in een taal die ze begrijpen.

"Gebruikers moeten oppassen en worden getraind dat zelfs een vertrouwd e-mailadres kwaadaardig kan zijn als het wordt gecompromitteerd", beaamt Gendre. "Dit is vooral het geval wanneer een e-mail een link of een bijlage bevat."

Zscaler voorbeeld e-mail die laat zien hoe Qakbot werkt in e-mail — Zscaler

Gendre stelt voor dat mensen hun e-mails aandachtig moeten lezen om er zeker van te zijn dat de afzenders zijn wie ze beweren te zijn. Hij wijst erop dat e-mails die worden verzonden vanaf gecompromitteerde accounts vaak kort en to the point zijn met zeer botte verzoeken, wat een goede reden is om de e-mail als verdacht te markeren.

Daar komt nog bij dat Baird erop wijst dat de e-mails die door Qakbot worden verzonden, normaal gesproken anders worden geschreven wanneer: in vergelijking met de gesprekken die u gewoonlijk met uw contacten voert, wat een extra waarschuwing zou moeten zijn teken. Alvorens te reageren op bijlagen in een verdachte e-mail, stelt Baird voor dat u contact opneemt met de contactpersoon via een apart kanaal om de authenticiteit van het bericht te verifiëren.

"Als je e-mail [met] bestanden [die je] niet verwacht, kijk er dan niet naar", is het eenvoudige advies van Baird. "De uitdrukking 'Nieuwsgierigheid heeft de kat vermoord' is van toepassing op alles wat je via e-mail ontvangt."