Key takeaways
- Angripere bak en passord-stjel malware bruker innovative metoder for å få folk til å åpne ondsinnede e-poster.
- Angriperne bruker en kontakts hackede innboks for å sette inn de skadelige vedleggene i pågående e-postsamtaler.
-
Sikkerhetsforskere foreslår at angrepet understreker det faktum at folk ikke blindt bør åpne vedlegg, selv ikke de fra kjente kontakter.
Det kan virke rart når vennen din hopper inn i en e-postsamtale med et vedlegg du halvparten forventet, men tvil om meldingens legitimitet kan redde deg fra farlig skadelig programvare.
Sikkerhetseksperter hos Zscaler har delt detaljer om trusselaktører som bruker nye metoder i et forsøk på å omgå deteksjon, for å sirkulere et kraftig passord som stjeler skadelig programvare k alt Qakbot. Nettsikkerhetsforskere er skremt av angrepet, men ikke overrasket over at angripere foredler teknikkene sine.
"Nettkriminelle oppdaterer stadig angrepene sine for å prøve å unngå oppdagelse og til slutt oppnå sine mål," fort alte Jack Chapman, VP of Threat Intelligence hos Egress, til Lifewire via e-post. "Så selv om vi ikke vet spesifikt hva de vil prøve neste gang, vet vi at det alltid vil være en neste gang, og at angrep er i stadig utvikling."
Friendly Neighborhood Hacker
I innlegget deres går Zscaler gjennom de forskjellige tilsløringsteknikkene angriperne bruker for å få ofrene til å åpne e-posten sin.
Dette inkluderer å bruke lokkende filnavn med vanlige formater, for eksempel. ZIP, for å lure ofre til å laste ned de ondsinnede vedleggene.
Tilsløring av skadelig programvare har vært en populær taktikk i mange år nå, delte Chapman, og sa at de har sett angrep skjult i en rekke forskjellige filtyper, inkludert PDF-er og alle Microsoft Office-dokumenttyper.
"Sofistikerte nettangrep er utviklet for å ha best mulig sjanse til å nå sine mål," sa Chapman.
Interessant nok merker Zscaler at de ondsinnede vedleggene settes inn som svar i aktive e-posttråder. Igjen er ikke Chapman overrasket over den sofistikerte sosiale ingeniørkunsten som er på spill i disse angrepene. "Når angrepet har nådd målet, trenger nettkriminelle at de tar handling - i dette tilfellet for å åpne e-postvedlegget," delte Chapman.
Keegan Keplinger, forsknings- og rapporteringsleder ved eSentire, som oppdaget og blokkerte et dusin Qakbot-kampanjehendelser bare i juni, pekte også på bruken av kompromitterte e-postinnbokser som et høydepunkt i angrepet.
"Qakbots tilnærming omgår kontroller av menneskelig tillit, og det er mer sannsynlig at brukere laster ned og kjører nyttelasten, og tror det er fra en pålitelig kilde," sa Keplinger til Lifewire via e-post.
Adrien Gendre, Chief Tech and Product Officer hos Vade Secure, påpekte at denne teknikken også ble brukt i 2021s Emotet-angrep.
"Brukere er ofte opplært til å se etter forfalskede e-postadresser, men i et tilfelle som dette vil det ikke være nyttig å inspisere avsenderens adresse fordi det er en legitim, om enn kompromittert adresse," sa Gendre til Lifewire i en e-postdiskusjon.
Curiosity Killed the Cat
Chapman sier at i tillegg til å dra nytte av det eksisterende forholdet og tilliten som er bygget mellom personene som er involvert, fører angripernes bruk av vanlige filtyper og utvidelser til at mottakere blir mindre mistenksomme og mer sannsynlig å åpne disse vedleggene.
Paul Baird, Chief Technical Security Officer UK hos Qualys, bemerker at selv om teknologi bør blokkere denne typen angrep, vil noen alltid slippe gjennom. Han foreslår at det å holde folk oppmerksomme på aktuelle trusler på et språk de forstår er den eneste måten å dempe spredningen på.
"Brukere bør passe på, og bli opplært, at selv en pålitelig e-postadresse kan være skadelig hvis de blir kompromittert," sa Gendre. "Dette gjelder spesielt når en e-post inneholder en lenke eller et vedlegg."
Gendre foreslår at folk bør lese e-postene sine nøye for å sikre at avsendere er den de utgir seg for å være. Han påpeker at e-poster som sendes fra kompromitterte kontoer ofte er korte og konkrete med svært grove forespørsler, noe som er en god grunn til å flagge e-posten som mistenkelig.
I tillegg til dette påpeker Baird at e-postene som sendes av Qakbot, norm alt vil bli skrevet annerledes sammenlignet med samtalene du vanligvis har med kontaktene dine, noe som bør tjene som et annet advarselstegn. Før du samhandler med eventuelle vedlegg i en mistenkelig e-post, foreslår Baird at du kobler deg til kontakten ved å bruke en egen kanal for å bekrefte ektheten til meldingen.
"Hvis du får noen e-post [med] filer [du] ikke forventer, så ikke se på dem," er Bairds enkle råd. «Uttrykket «Nysgjerrighet drepte katten» gjelder alt du får via e-post.»
