Та изненадна зип датотека у е-поруци може бити злонамерни софтвер

July 15, 2022
УВести Интернет и безбедност

Нападачи који стоје иза малвера за крађу лозинке користе иновативне методе да наведу људе да отворе злонамерне е-поруке.
Нападачи користе хаковано пријемно сандуче контакта да би убацили прилоге оптерећене злонамерним софтвером у текуће разговоре е-поште.
Истраживачи безбедности сугеришу да напад наглашава чињеницу да људи не би требало слепо да отварају прилоге, чак ни оне из познатих контаката.

Сајбер безбедност, пхисхинг, е-пошта, мрежна безбедност, компјутерски хакер, рачунарство у облаку, рансомваре — Јуст_Супер / Гетти Имагес

Може изгледати чудно када ваш пријатељ ускочи у разговор путем е-поште са прилогом који сте напола очекивали, али сумња у легитимност поруке може вас спасити од опасног малвера.

Сигурносни истражитељи у Зсцалеру имају делили детаље о актерима претњи који користе нове методе у покушају да заобиђу детекцију, како би проширили моћни малвер за крађу лозинки под називом Какбот. Истраживачи сајбер безбедности су узнемирени нападом, али нису изненађени што нападачи усавршавају своје технике.

„Сајбер криминалци стално ажурирају своје нападе како би покушали да избегну откривање и, на крају, остваре своје циљеве“,

Јацк Цхапман, потпредседник обавештајних података о претњама у Егресс, рекао је за Лифевире преко е-поште. „Дакле, чак и ако не знамо конкретно шта ће следеће покушати, знамо да ће увек бити следећи пут и да се напади стално развијају.

Фриендли Неигхборхоод Хацкер

У свом посту, Зсцалер пролази кроз различите технике замагљивања које нападачи користе како би навели жртве да отворе своју е-пошту.

Ово укључује коришћење примамљивих назива датотека са уобичајеним форматима, као што је .ЗИП, да би преварили жртве да преузму злонамерне прилоге.

Замагљивање злонамерног софтвера је популарна тактика већ дуги низ година, рекао је Цхапман, рекавши да су видели напади скривени у бројним различитим типовима датотека, укључујући ПДФ-ове и сваки Мицрософт Оффице документ тип.

„Софистицирани сајбер напади су пројектовани тако да имају најбоље могуће шансе да достигну своје циљеве“, рекао је Чепмен.

Зсцалер пример е-поште која приказује сумњив прилог — Зсцалер

Занимљиво је да Зсцалер примећује да се злонамерни прилози убацују као одговори у активним нитима е-поште. Опет, Чепмен није изненађен софистицираним друштвеним инжењерингом који је у игри у овим нападима. „Када напад досегне циљ, сајбер криминалац мора да предузме акцију — у овом случају, да отвори прилог е-поште“, рекао је Чепмен.

Кееган Кеплингер, водитељ истраживања и извештавања на еСентире, који је открио и блокирао десетак инцидената у кампањи Какбот само у јуну, такође је указао на коришћење компромитованих сандучића е-поште као врхунац напада.

„Какботов приступ заобилази провере поверења међу људима и већа је вероватноћа да ће корисници преузети и извршити терет, мислећи да је из поузданог извора“, рекао је Кеплингер за Лифевире преко е-поште.

Адриен Гендре, директор технологије и производа у Ваде Сецуре, истакао је да је коришћена и ова техника у Емотет нападима 2021.

„Корисници су обично обучени да траже лажне адресе е-поште, али у случају као што је овај, прегледају пошиљаочеву адреса не би била од помоћи јер је то легитимна, иако компромитована адреса“, рекао је Гендре за Лифевире у мејлу дискусију.

Радозналост је убила мачку

Чепмен каже да поред коришћења предности већ постојећег односа и поверења изграђеног између људи који су укључени, Коришћење уобичајених типова датотека и екстензија од стране нападача доводи до тога да су примаоци мање сумњиви и већа је вероватноћа да ће их отворити прилоге.

Паул Баирд, шеф техничке безбедности УК у Куалис, напомиње да иако технологија треба да блокира ове врсте напада, неки ће увек проћи. Он сугерише да је информисање људи о тренутним претњама на језику који ће разумети једини начин да се спречи ширење.

„Корисници треба да пазе и да буду обучени да чак и поуздана адреса е-поште може бити злонамерна ако је угрожена“, сложио се Гендре. „Ово је посебно тачно када имејл садржи везу или прилог.“

Зсцалер пример е-поште који показује како Какбот ради у е-пошти — Зсцалер

Гендре предлаже да људи треба пажљиво да читају своје е-поруке како би били сигурни да су пошиљаоци они за које тврде да јесу. Он истиче да су мејлови послани са компромитованих налога често кратки и до тачке са веома грубим захтевима, што је добар разлог да се мејл означи као сумњив.

Додајући овоме, Баирд истиче да ће е-поруке које шаље Какбот обично бити другачије написане када у поређењу са разговорима које обично водите са својим контактима, што би требало да послужи као још једно упозорење знак. Пре него што ступите у интеракцију са било којим прилозима у сумњивој е-поруци, Баирд предлаже да се повежете са контактом користећи посебан канал да бисте проверили аутентичност поруке.

„Ако добијете е-пошту [са] датотекама [које] не очекујете, онда их не гледајте“, једноставан је Бејрдов савет. „Израз „Радозналост је убио мачку“ односи се на све што добијете путем е-поште.“