Kluczowe dania na wynos
- Atakujący stojący za złośliwym oprogramowaniem kradnącym hasła używają innowacyjnych metod, aby skłonić ludzi do otwierania złośliwych wiadomości e-mail.
- Atakujący używają zhakowanej skrzynki odbiorczej kontaktu, aby wstawić wyładowane złośliwym oprogramowaniem załączniki do trwających rozmów e-mail.
-
Analitycy bezpieczeństwa sugerują, że atak podkreśla fakt, że ludzie nie powinni na ślepo otwierać załączników, nawet tych ze znanych kontaktów.
To może wydawać się dziwne, gdy znajomy dołącza do rozmowy e-mailowej z załącznikiem, którego w połowie się spodziewałeś, ale wątpienie w wiarygodność wiadomości może uchronić Cię przed niebezpiecznym złośliwym oprogramowaniem.
Detektywi ds. bezpieczeństwa w Zscaler podzielili się szczegółami na temat cyberprzestępców wykorzystujących nowatorskie metody w celu uniknięcia wykrycia, w celu rozpowszechniania silnego szkodliwego oprogramowania kradnącego hasła o nazwie Qakbot. Badacze cyberbezpieczeństwa są zaniepokojeni atakiem, ale nie zaskoczeni tym, że atakujący udoskonalają swoje techniki.
„Cyberprzestępcy stale aktualizują swoje ataki, aby uniknąć wykrycia i ostatecznie osiągnąć swoje cele” – powiedział Lifewire w wiadomości e-mail Jack Chapman, wiceprezes ds. analizy zagrożeń w firmie Egress. „Więc nawet jeśli nie wiemy konkretnie, co spróbują dalej, wiemy, że zawsze będzie następny raz, a ataki stale ewoluują”.
Haker z przyjaznego sąsiedztwa
W swoim poście Zscaler omawia różne techniki zaciemniania, które atakujący stosują, aby skłonić ofiary do otwarcia ich wiadomości e-mail.
Obejmuje to używanie kuszących nazw plików w popularnych formatach, takich jak. ZIP, aby nakłonić ofiary do pobrania złośliwych załączników.
Zaciemnianie złośliwego oprogramowania jest popularną taktyką od wielu lat, powiedział Chapman, mówiąc, że widziano ataki ukryte w wielu różnych typach plików, w tym w plikach PDF i każdym typie dokumentów Microsoft Office.
„Wyrafinowane cyberataki są zaprojektowane tak, aby miały jak największą szansę na dotarcie do celu” – powiedział Chapman.
Co ciekawe, Zscaler zauważa, że złośliwe załączniki są wstawiane jako odpowiedzi w aktywnych wątkach e-mail. Ponownie Chapman nie jest zaskoczony wyrafinowaną socjotechniką w tych atakach. „Kiedy atak osiągnął cel, cyberprzestępca potrzebuje ich do podjęcia działań – w tym przypadku do otwarcia załącznika wiadomości e-mail” – powiedział Chapman.
Keegan Keplinger, kierownik ds. badań i raportowania w firmie eSentire, która w samym czerwcu wykryła i zablokowała kilkanaście incydentów związanych z kampanią Qakbota, również wskazał na wykorzystanie zainfekowanych skrzynek pocztowych jako najważniejszego ataku.
„Podejście Qakbota omija kontrole zaufania ludzi, a użytkownicy są bardziej skłonni do pobrania i wykonania ładunku, myśląc, że pochodzi on z zaufanego źródła” – powiedział Keplinger Lifewire w wiadomości e-mail.
Adrien Gendre, Chief Tech and Product Officer w Vade Secure, zwrócił uwagę, że ta technika została również wykorzystana w atakach Emotet w 2021 roku.
„Użytkownicy są często szkoleni w poszukiwaniu fałszywych adresów e-mail, ale w takim przypadku sprawdzenie adresu nadawcy nie byłoby pomocne, ponieważ jest to prawdziwy, choć skompromitowany adres” – powiedział Gendre w rozmowie z Lifewire. dyskusja e-mail.
Ciekawość zabiła kota
Chapman mówi, że oprócz wykorzystania wcześniej istniejących relacji i zaufania zbudowanego między zaangażowanymi osobami, wykorzystywanie przez osoby atakujące popularnych typów plików i rozszerzeń sprawia, że odbiorcy są mniej podejrzliwi i bardziej skłonni do otwierania tych załączników.
Paul Baird, Chief Technical Security Officer UK w Qualys, zauważa, że chociaż technologia powinna blokować tego typu ataki, niektóre zawsze się prześlizgną. Sugeruje, że utrzymywanie świadomości ludzi o aktualnych zagrożeniach w języku, który rozumieją, jest jedynym sposobem na ograniczenie rozprzestrzeniania się.
"Użytkownicy powinni uważać i być przeszkoleni, że nawet zaufany adres e-mail może być złośliwy, jeśli zostanie naruszony ", zgodził się Gendre. "Jest to szczególnie ważne, gdy wiadomość e-mail zawiera łącze lub załącznik."
Gendre sugeruje, że ludzie powinni uważnie czytać swoje e-maile, aby upewnić się, że nadawcy są tym, za kogo się podają. Wskazuje, że wiadomości e-mail wysyłane ze zhakowanych kont są często krótkie i zawierają bardzo tępe żądania, co jest dobrym powodem do oznaczenia wiadomości e-mail jako podejrzanej.
Dodając do tego, Baird zwraca uwagę, że e-maile wysyłane przez Qakbota będą zwykle pisane inaczej niż rozmowy, które zwykle prowadzisz ze swoimi kontaktami, co powinno służyć jako kolejny znak ostrzegawczy. Przed wejściem w interakcję z jakimikolwiek załącznikami w podejrzanej wiadomości e-mail Baird sugeruje połączenie się z kontaktem za pomocą oddzielnego kanału w celu zweryfikowania autentyczności wiadomości.
„Jeśli otrzymasz wiadomość e-mail [z] plikami, których [nie oczekujesz], nie patrz na nie”, to prosta rada Bairda. „Wyrażenie »Ciekawość zabiła kota« dotyczy wszystkiego, co otrzymujesz przez e-mail”.
