Key takeaways
- Angribere bag malware, der stjæler adgangskoder, bruger innovative metoder til at få folk til at åbne ondsindede e-mails.
- Angriberne bruger en kontakts hackede indbakke til at indsætte de malware-fyldte vedhæftede filer i igangværende e-mail-samtaler.
-
Sikkerhedsforskere foreslår, at angrebet understreger det faktum, at folk ikke blindt bør åbne vedhæftede filer, heller ikke dem fra kendte kontakter.
Det kan virke underligt, når din ven hopper ind i en e-mail-samtale med en vedhæftet fil, som du halvt havde forventet, men tvivl om meddelelsens legitimitet kan redde dig fra farlig malware.
Sikkerhedseksperter hos Zscaler har delt detaljer om trusselsaktører, der bruger nye metoder i et forsøg på at omgå detektion, for at cirkulere en potent adgangskode, der stjæler malware kaldet Qakbot. Cybersikkerhedsforskere er bekymrede over angrebet, men ikke overraskede over, at angribere forfiner deres teknikker.
"Cyberkriminelle opdaterer konstant deres angreb for at forsøge at undgå opdagelse og i sidste ende nå deres mål," fort alte Jack Chapman, VP for Threat Intelligence hos Egress, til Lifewire via e-mail. "Så selvom vi ikke ved specifikt, hvad de vil prøve næste gang, ved vi, at der altid vil være en næste gang, og at angreb hele tiden udvikler sig."
Friendly Neighborhood Hacker
I deres indlæg gennemgår Zscaler de forskellige sløringsteknikker, som angriberne anvender for at få ofre til at åbne deres e-mail.
Dette omfatter brug af lokkende filnavne med almindelige formater, såsom. ZIP, for at narre ofrene til at downloade de ondsindede vedhæftede filer.
Tilsløring af malware har været en populær taktik i mange år nu, delte Chapman og sagde, at de har set angreb skjult i adskillige forskellige filtyper, inklusive PDF-filer og alle Microsoft Office-dokumenttyper.
"Sofistikerede cyberangreb er udviklet til at have den bedst mulige chance for at nå deres mål," sagde Chapman.
Interessant nok bemærker Zscaler, at de ondsindede vedhæftede filer er indsat som svar i aktive e-mail-tråde. Igen er Chapman ikke overrasket over den sofistikerede sociale teknik, der er på spil i disse angreb. "Når angrebet har nået målet, har den cyberkriminelle brug for, at de tager handling - i dette tilfælde for at åbne den vedhæftede fil," delte Chapman.
Keegan Keplinger, forsknings- og rapporteringsleder hos eSentire, som opdagede og blokerede et dusin Qakbot-kampagnehændelser alene i juni, pegede også på brugen af kompromitterede e-mail-indbakker som et højdepunkt i angrebet.
"Qakbots tilgang omgår kontrol af menneskelig tillid, og brugere er mere tilbøjelige til at downloade og udføre nyttelasten, idet de tror, at den er fra en pålidelig kilde," sagde Keplinger til Lifewire via e-mail.
Adrien Gendre, Chief Tech and Product Officer hos Vade Secure, påpegede, at denne teknik også blev brugt i 2021's Emotet-angreb.
"Brugere er almindeligvis trænet til at lede efter forfalskede e-mailadresser, men i et tilfælde som dette ville det ikke være nyttigt at inspicere afsenderens adresse, fordi det er en legitim, omend kompromitteret adresse," sagde Gendre til Lifewire i en e-mail diskussion.
Curiosity Killed the Cat
Chapman siger, at ud over at drage fordel af det allerede eksisterende forhold og tillid, der er opbygget mellem de involverede personer, resulterer angriberes brug af almindelige filtyper og udvidelser i, at modtagere er mindre mistænksomme og mere tilbøjelige til at åbne disse vedhæftede filer.
Paul Baird, Chief Technical Security Officer UK hos Qualys, bemærker, at selvom teknologi bør blokere disse typer angreb, vil nogle altid slippe igennem. Han foreslår, at det at holde folk opmærksomme på aktuelle trusler på et sprog, de forstår, er den eneste måde at bremse spredningen på.
"Brugere bør være opmærksomme på og blive trænet i, at selv en betroet e-mail-adresse kan være ondsindet, hvis den kompromitteres," sagde Gendre. "Dette gælder især, når en e-mail indeholder et link eller en vedhæftet fil."
Gendre foreslår, at folk bør læse deres e-mails omhyggeligt for at sikre, at afsendere er dem, de udgiver sig for at være. Han påpeger, at e-mails, der sendes fra kompromitterede konti, ofte er korte og præcise med meget direkte anmodninger, hvilket er en god grund til at markere e-mailen som mistænkelig.
For at tilføje dette, påpeger Baird, at e-mails sendt af Qakbot norm alt vil være skrevet anderledes sammenlignet med de samtaler, du norm alt har med dine kontakter, hvilket burde tjene som endnu et advarselstegn. Før du interagerer med vedhæftede filer i en mistænkelig e-mail, foreslår Baird, at du opretter forbindelse til kontakten ved hjælp af en separat kanal for at bekræfte ægtheden af meddelelsen.
"Hvis du får nogen e-mail [med] filer [du] ikke forventer, så lad være med at se på dem," er Bairds enkle råd. "Sætningen 'Nysgerrigheden dræbte katten' gælder for alt, hvad du får via e-mail."
