Acel fișier Zip brusc din firul de e-mail ar putea fi malware

July 15, 2022
ÎnȘtiri Securitatea Internetului

Atacatorii din spatele unui malware care fură parole folosesc metode inovatoare pentru a-i determina pe oameni să deschidă e-mailuri rău intenționate.
Atacatorii folosesc căsuța de e-mail piratată a unui contact pentru a insera atașamentele încărcate cu programe malware în conversațiile de e-mail în curs.
Cercetătorii în domeniul securității sugerează că atacul subliniază faptul că oamenii nu ar trebui să deschidă orbește atașamentele, chiar și cele de la contacte cunoscute.

Securitate cibernetică, phishing, e-mail, securitate rețele, hacker de computer, cloud computing, ransomware — Just_Super / Getty Images

Poate părea ciudat când prietenul tău intră într-o conversație prin e-mail cu un atașament la care te așteptai pe jumătate, dar îndoiala de legitimitatea mesajului te-ar putea salva de programele malware periculoase.

Detectivii de securitate de la Zscaler au detalii împărtășite despre actorii amenințărilor care folosesc metode noi în încercarea de a evita detectarea, de a difuza un malware puternic de furt de parole numit Qakbot. Cercetătorii în securitate cibernetică sunt alarmați de atac, dar nu sunt surprinși de atacatorii care își perfecționează tehnicile.

„Infractorii cibernetici își actualizează în mod constant atacurile pentru a încerca să evite detectarea și, în cele din urmă, să își atingă obiectivele.” Jack Chapman, VP of Threat Intelligence la Ieşire, a spus Lifewire prin e-mail. „Deci, chiar dacă nu știm în mod concret ce vor încerca în continuare, știm că va exista întotdeauna o dată viitoare și că atacurile evoluează constant.”

Hacker prietenos de cartier

În postarea lor, Zscaler trece prin diferitele tehnici de ofuscare pe care le folosesc atacatorii pentru a determina victimele să-și deschidă e-mailul.

Aceasta include utilizarea numelor de fișiere atrăgătoare cu formate comune, cum ar fi .ZIP, pentru a păcăli victimele să descarce atașamentele rău intenționate.

Ofucarea programelor malware este o tactică populară de mulți ani, a spus Chapman, spunând că au văzut atacuri ascunse în numeroase tipuri de fișiere diferite, inclusiv PDF-uri și fiecare document Microsoft Office tip.

„Atacuri cibernetice sofisticate sunt concepute pentru a avea cele mai bune șanse posibile de a-și atinge obiectivele”, a spus Chapman.

Exemplu de e-mail Zscaler care arată un atașament suspect — Zscaler

Interesant, Zscaler observă că atașamentele rău intenționate sunt inserate ca răspunsuri în firele de e-mail active. Din nou, Chapman nu este surprins de ingineria socială sofisticată aflată în joc în aceste atacuri. „Odată ce atacul a atins ținta, criminalul cibernetic are nevoie să ia măsuri – în acest caz, să deschidă atașamentul de e-mail”, a spus Chapman.

Keegan Keplinger, Conducător de cercetare și raportare la eSentire, care a detectat și blocat o duzină de incidente ale campaniei Qakbot numai în iunie, a subliniat, de asemenea, utilizarea căsuțelor de e-mail compromise ca punct culminant al atacului.

„Abordarea lui Qakbot ocolește verificările privind încrederea umană, iar utilizatorii au șanse mai mari să descarce și să execute sarcina utilă, crezând că provine dintr-o sursă de încredere”, a declarat Keplinger pentru Lifewire prin e-mail.

Adrien Gendre, Chief Tech and Product Officer la Vade Secure, a subliniat că a fost folosită și această tehnică în atacurile Emotet din 2021.

„Utilizatorii sunt de obicei instruiți să caute adrese de e-mail falsificate, dar într-un caz ca acesta, inspectarea expeditorului. adresa nu ar fi de ajutor, deoarece este o adresă legitimă, deși compromisă”, a declarat Gendre pentru Lifewire într-un e-mail. discuţie.

Curiozitatea a omorât pisica

Chapman spune că, pe lângă faptul că profita de relația preexistentă și de încrederea construită între persoanele implicate, Utilizarea de către atacatori a unor tipuri și extensii obișnuite de fișiere face ca destinatarii să fie mai puțin suspicioși și mai probabil să le deschidă atașamente.

Paul Baird, Chief Technical Security Officer Marea Britanie la Qualys, notează că, deși tehnologia ar trebui să blocheze aceste tipuri de atacuri, unele se vor strecura întotdeauna. El sugerează că menținerea oamenilor conștienți de amenințările actuale într-o limbă pe care o vor înțelege este singura modalitate de a reduce răspândirea.

„Utilizatorii ar trebui să fie atenți și să fie instruiți că chiar și o adresă de e-mail de încredere poate fi rău intenționată dacă este compromisă”, a fost de acord Gendre. „Acest lucru este valabil mai ales atunci când un e-mail include un link sau un atașament.”

Exemplu de e-mail Zscaler care arată cum funcționează Qakbot în e-mail — Zscaler

Gendre sugerează că oamenii ar trebui să-și citească cu atenție e-mailurile pentru a se asigura că expeditorii sunt cine pretind că sunt. El subliniază că e-mailurile trimise din conturi compromise sunt adesea scurte și la obiect cu solicitări foarte directe, ceea ce este un motiv bun pentru a semnala e-mailul ca suspect.

În plus, Baird subliniază că e-mailurile trimise de Qakbot vor fi în mod normal scrise diferit când comparativ cu conversațiile pe care le aveți de obicei cu contactele dvs., care ar trebui să servească drept un alt avertisment semn. Înainte de a interacționa cu orice atașamente dintr-un e-mail suspect, Baird vă sugerează să vă conectați cu persoana de contact folosind un canal separat pentru a verifica autenticitatea mesajului.

„Dacă primești vreun e-mail [cu] fișiere [la care nu te aștepți], atunci nu te uita la ele”, este sfatul simplu al lui Baird. „Expresia „Curiozitatea a ucis pisica” se aplică la orice primiți prin e-mail.”