Recomandări cheie
- Atacatorii din spatele unui malware care fură parole folosesc metode inovatoare pentru a-i determina pe oameni să deschidă e-mailuri rău intenționate.
- Atacatorii folosesc căsuța de e-mail piratată a unei persoane de contact pentru a introduce atașamentele încărcate de programe malware în conversațiile prin e-mail în curs.
-
Cercetătorii în domeniul securității sugerează că atacul subliniază faptul că oamenii nu ar trebui să deschidă orbește atașamente, chiar și pe cele de la contacte cunoscute.
Ar putea părea ciudat când prietenul tău intră într-o conversație prin e-mail cu un atașament la care te așteptai pe jumătate, dar te îndoiești de legitimitatea mesajului te-ar putea salva de programe malware periculoase.
Detectorii de securitate de la Zscaler au împărtășit detalii despre actorii amenințărilor care folosesc metode noi în încercarea de a evita detectarea, pentru a difuza un malware puternic de furt de parole numit Qakbot. Cercetătorii în securitate cibernetică sunt alarmați de atac, dar nu sunt surprinși de atacatorii care își perfecționează tehnicile.
„Cibercriminalii își actualizează în mod constant atacurile pentru a încerca să evite detectarea și, în cele din urmă, să-și atingă obiectivele”, a declarat Jack Chapman, vicepreședintele Threat Intelligence la Egress, pentru Lifewire prin e-mail. „Deci, chiar dacă nu știm în mod concret ce vor încerca în continuare, știm că va exista întotdeauna o dată viitoare și că atacurile evoluează constant.”
Hacker prietenos de cartier
În postarea lor, Zscaler trece prin diferitele tehnici de ofuscare pe care le folosesc atacatorii pentru a determina victimele să-și deschidă e-mailul.
Aceasta include utilizarea numelor de fișiere atrăgătoare cu formate comune, cum ar fi. ZIP, pentru a păcăli victimele să descarce atașamentele rău intenționate.
Ofuscarea programelor malware este o tactică populară de mulți ani, a spus Chapman, spunând că au văzut atacuri ascunse în numeroase tipuri de fișiere diferite, inclusiv în fișiere PDF și în fiecare tip de document Microsoft Office.
„Atacuri cibernetice sofisticate sunt concepute pentru a avea cele mai bune șanse posibile de a-și atinge obiectivele”, a spus Chapman.
În mod interesant, Zscaler observă că atașamentele rău intenționate sunt inserate ca răspunsuri în firele de e-mail active. Din nou, Chapman nu este surprins de ingineria socială sofisticată aflată în joc în aceste atacuri. „Odată ce atacul a atins ținta, criminalul cibernetic are nevoie de ei să ia măsuri – în acest caz, să deschidă atașamentul de e-mail”, a spus Chapman.
Keegan Keplinger, Research and Reporting Lead la eSentire, care a detectat și blocat o duzină de incidente ale campaniei Qakbot numai în iunie, a subliniat, de asemenea, utilizarea căsuțelor de e-mail compromise ca punct culminant al atacului.
„Abordarea lui Qakbot ocolește verificările privind încrederea umană, iar utilizatorii au șanse mai mari să descarce și să execute sarcina utilă, crezând că provine dintr-o sursă de încredere”, a declarat Keplinger pentru Lifewire prin e-mail.
Adrien Gendre, Chief Tech and Product Officer la Vade Secure, a subliniat că această tehnică a fost folosită și în atacurile Emotet din 2021.
"Utilizatorii sunt de obicei instruiți să caute adrese de e-mail falsificate, dar într-un caz ca acesta, inspectarea adresei expeditorului nu ar fi utilă, deoarece este o adresă legitimă, deși compromisă", a declarat Gendre pentru Lifewire într-un discuție prin e-mail.
Curiozitatea a ucis pisica
Chapman spune că, pe lângă faptul că profită de relația preexistentă și de încrederea construită între persoanele implicate, utilizarea de către atacatori a unor tipuri de fișiere și extensii obișnuite face ca destinatarii să fie mai puțin suspicioși și mai susceptibili să deschidă aceste atașamente.
Paul Baird, Chief Technical Security Officer din Marea Britanie la Qualys, observă că, deși tehnologia ar trebui să blocheze aceste tipuri de atacuri, unele vor scăpa întotdeauna. El sugerează că menținerea oamenilor la curent cu amenințările actuale într-o limbă pe care o vor înțelege este singura modalitate de a reduce răspândirea.
„Utilizatorii ar trebui să fie atenți și să fie instruiți că chiar și o adresă de e-mail de încredere poate fi rău intenționată dacă este compromisă”, a fost de acord Gendre. „Acest lucru este valabil mai ales atunci când un e-mail include un link sau un atașament.”
Gendre sugerează că oamenii ar trebui să-și citească cu atenție e-mailurile pentru a se asigura că expeditorii sunt cine pretind că sunt. El subliniază că e-mailurile trimise din conturi compromise sunt adesea scurte și la obiect cu solicitări foarte directe, ceea ce este un motiv bun pentru a semnala e-mailul ca suspect.
Adăugând la aceasta, Baird subliniază că e-mailurile trimise de Qakbot vor fi scrise în mod normal diferit în comparație cu conversațiile pe care le aveți de obicei cu persoanele de contact, care ar trebui să servească drept un alt semn de avertizare. Înainte de a interacționa cu orice atașamente dintr-un e-mail suspect, Baird vă sugerează să vă conectați cu persoana de contact folosind un canal separat pentru a verifica autenticitatea mesajului.
„Dacă primești vreun e-mail [cu] fișiere [la care nu te aștepți], atunci nu te uita la ele”, este sfatul simplu al lui Baird. „Expresia „Curiozitatea a ucis pisica” se aplică la orice primiți prin e-mail.”