Ten nagły plik ZIP w wątku e-mail może być złośliwym oprogramowaniem

July 15, 2022
WAktualności Ochrona Internetu

Atakujący kryjący się za złośliwym oprogramowaniem kradnącym hasła używają innowacyjnych metod, aby skłonić ludzi do otwierania złośliwych wiadomości e-mail.
Osoby atakujące wykorzystują zhakowaną skrzynkę odbiorczą kontaktu, aby wstawić wyładowane złośliwym oprogramowaniem załączniki do trwających rozmów e-mail.
Badacze bezpieczeństwa sugerują, że atak podkreśla fakt, że ludzie nie powinni ślepo otwierać załączników, nawet tych ze znanych kontaktów.

Cyberbezpieczeństwo, phishing, poczta e-mail, bezpieczeństwo sieci, haker komputerowy, przetwarzanie w chmurze, oprogramowanie ransomware — Just_Super / Getty Images

Może wydawać się to dziwne, gdy znajomy dołącza do rozmowy e-mailowej z załącznikiem, którego w połowie się spodziewałeś, ale wątpienie w wiarygodność wiadomości może uchronić Cię przed niebezpiecznym złośliwym oprogramowaniem.

Detektywi bezpieczeństwa w Zscaler mają udostępnione szczegóły o cyberprzestępcach wykorzystujących nowatorskie metody w celu uniknięcia wykrycia w celu rozpowszechniania silnego szkodliwego oprogramowania kradnącego hasła o nazwie Qakbot. Badacze cyberbezpieczeństwa są zaniepokojeni atakiem, ale nie zaskoczeni tym, że atakujący udoskonalają swoje techniki.

„Cyberprzestępcy stale aktualizują swoje ataki, aby uniknąć wykrycia i ostatecznie osiągnąć swoje cele” Jack Chapman, wiceprezes ds. analizy zagrożeń w Wyjście, powiedział Lifewire przez e-mail. „Więc nawet jeśli nie wiemy konkretnie, co spróbują dalej, wiemy, że zawsze będzie następny raz i że ataki stale ewoluują”.

Haker przyjaznego sąsiedztwa

W swoim poście Zscaler omawia różne techniki zaciemniania, które atakujący stosują, aby skłonić ofiary do otwarcia wiadomości e-mail.

Obejmuje to używanie kuszących nazw plików w popularnych formatach, takich jak .ZIP, w celu nakłonienia ofiar do pobrania złośliwych załączników.

Zaciemnianie złośliwego oprogramowania jest popularną taktyką od wielu lat, powiedział Chapman, mówiąc, że widzieli ataki ukryte w wielu różnych typach plików, w tym w plikach PDF i każdym dokumencie Microsoft Office rodzaj.

„Wyrafinowane cyberataki są zaprojektowane tak, aby miały największą możliwą szansę na dotarcie do celu” – powiedział Chapman.

Przykładowy e-mail Zscalera z podejrzanym załącznikiem — Skaler Z

Co ciekawe, Zscaler zauważa, że złośliwe załączniki są umieszczane jako odpowiedzi w aktywnych wątkach e-mail. Ponownie Chapman nie jest zaskoczony wyrafinowaną socjotechniką w tych atakach. „Gdy atak dotrze do celu, cyberprzestępca potrzebuje ich do podjęcia działań – w tym przypadku do otwarcia załącznika wiadomości e-mail” – powiedział Chapman.

Keegan Keplinger, Kierownik Badań i Raportowania w eSentire, który w samym czerwcu wykrył i zablokował kilkanaście incydentów związanych z kampanią Qakbota, również wskazał na wykorzystanie zhakowanych skrzynek pocztowych jako najważniejszego ataku.

„Podejście Qakbota omija kontrole zaufania ludzi, a użytkownicy są bardziej skłonni do pobierania i wykonywania ładunku, myśląc, że pochodzi on z zaufanego źródła” – powiedział Keplinger Lifewire przez e-mail.

Adrien Gendre, Chief Tech and Product Officer w Bezpieczny vadem, zaznaczył, że ta technika była również stosowana w atakach Emotetów w 2021 r..

„Użytkownicy są często szkoleni w poszukiwaniu fałszywych adresów e-mail, ale w takim przypadku sprawdzają adres nadawcy adres nie byłby pomocny, ponieważ jest to prawdziwy, choć skompromitowany adres” – powiedział Gendre Lifewire w e-mailu. dyskusja.

Ciekawość zabiła kota

Chapman mówi, że oprócz wykorzystania wcześniej istniejących relacji i zaufania zbudowanego między zaangażowanymi osobami, korzystanie przez atakujących z popularnych typów plików i rozszerzeń powoduje, że odbiorcy są mniej podejrzliwi i chętniej je otwierają załączniki.

Paul Baird, Chief Technical Security Officer UK at Qualyszauważa, że chociaż technologia powinna blokować tego typu ataki, niektóre z nich zawsze się prześlizgną. Sugeruje, że utrzymywanie świadomości ludzi o aktualnych zagrożeniach w języku, który zrozumieją, jest jedynym sposobem na ograniczenie rozprzestrzeniania się.

„Użytkownicy powinni uważać i być przeszkoleni, że nawet zaufany adres e-mail może być złośliwy, jeśli zostanie naruszony” – zgodził się Gendre. „Jest to szczególnie ważne, gdy wiadomość e-mail zawiera łącze lub załącznik”.

Przykładowy e-mail Zscalera pokazujący, jak Qakbot działa w e-mailu — Skaler Z

Gendre sugeruje, aby ludzie uważnie czytali swoje e-maile, aby upewnić się, że nadawcy są tym, za kogo się podają. Wskazuje, że wiadomości e-mail wysyłane z zaatakowanych kont są często krótkie i zawierają bardzo tępe żądania, co jest dobrym powodem do oznaczenia wiadomości e-mail jako podejrzanej.

Dodając do tego, Baird zwraca uwagę, że e-maile wysyłane przez Qakbota będą zwykle pisane inaczej, gdy w porównaniu do rozmów, które zwykle prowadzisz ze swoimi kontaktami, co powinno być kolejnym ostrzeżeniem podpisać. Przed wejściem w interakcję z jakimikolwiek załącznikami w podejrzanej wiadomości e-mail Baird sugeruje połączenie się z kontaktem za pomocą oddzielnego kanału, aby zweryfikować autentyczność wiadomości.

„Jeśli otrzymasz wiadomość e-mail z plikami, których się nie spodziewasz, nie patrz na nie” – brzmi prosta rada Bairda. „Wyrażenie »Ciekawość zabiła kota« dotyczy wszystkiego, co otrzymujesz za pośrednictwem poczty e-mail”.