Βασικά Takeaways
- Οι εισβολείς πίσω από ένα κακόβουλο λογισμικό που κλέβει κωδικό πρόσβασης χρησιμοποιούν καινοτόμες μεθόδους για να κάνουν τους ανθρώπους να ανοίγουν κακόβουλα μηνύματα ηλεκτρονικού ταχυδρομείου.
- Οι εισβολείς χρησιμοποιούν τα παραβιασμένα εισερχόμενα μιας επαφής για να εισάγουν τα συνημμένα με κακόβουλο λογισμικό σε συνεχείς συνομιλίες email.
-
Ερευνητές ασφαλείας προτείνουν ότι η επίθεση υπογραμμίζει το γεγονός ότι οι άνθρωποι δεν πρέπει να ανοίγουν στα τυφλά συνημμένα, ακόμη και εκείνα από γνωστές επαφές.
Μπορεί να φαίνεται περίεργο όταν ο φίλος σας μπαίνει σε μια συνομιλία email με ένα συνημμένο που περιμένατε κατά το ήμισυ, αλλά η αμφιβολία για τη νομιμότητα του μηνύματος θα μπορούσε να σας σώσει από επικίνδυνο κακόβουλο λογισμικό.
Μελέτες ασφαλείας στο Zscaler έχουν μοιραστεί λεπτομέρειες σχετικά με τους παράγοντες απειλών που χρησιμοποιούν νέες μεθόδους σε μια προσπάθεια να παρακάμψουν τον εντοπισμό, να κυκλοφορήσουν ένα ισχυρό κακόβουλο λογισμικό που κλέβει κωδικό πρόσβασης που ονομάζεται Qakbot. Οι ερευνητές της κυβερνοασφάλειας ανησυχούν από την επίθεση, αλλά δεν εκπλήσσονται από τους εισβολείς που βελτιώνουν τις τεχνικές τους.
"Οι εγκληματίες του κυβερνοχώρου ενημερώνουν συνεχώς τις επιθέσεις τους για να προσπαθήσουν να αποφύγουν τον εντοπισμό και, τελικά, να επιτύχουν τους στόχους τους", είπε ο Jack Chapman, Αντιπρόεδρος του Threat Intelligence στο Egress, στο Lifewire μέσω email. "Έτσι, ακόμα κι αν δεν ξέρουμε συγκεκριμένα τι θα δοκιμάσουν στη συνέχεια, ξέρουμε ότι θα υπάρχει πάντα μια επόμενη φορά και ότι οι επιθέσεις εξελίσσονται συνεχώς."
Friendly Neighborhood Hacker
Στην ανάρτησή του, ο Zscaler εξετάζει τις διάφορες τεχνικές συσκότισης που χρησιμοποιούν οι εισβολείς για να πείσουν τα θύματα να ανοίξουν το email τους.
Αυτό περιλαμβάνει τη χρήση δελεαστικών ονομάτων αρχείων με κοινές μορφές, όπως. ZIP, για να εξαπατήσουν τα θύματα να κατεβάσουν τα κακόβουλα συνημμένα.
Η απόκρυψη κακόβουλου λογισμικού είναι μια δημοφιλής τακτική εδώ και πολλά χρόνια, μοιράστηκε ο Chapman, λέγοντας ότι έχουν δει επιθέσεις κρυμμένες σε πολλούς διαφορετικούς τύπους αρχείων, συμπεριλαμβανομένων των PDF και κάθε τύπου εγγράφου του Microsoft Office.
"Οι εξελιγμένες επιθέσεις στον κυβερνοχώρο έχουν σχεδιαστεί για να έχουν την καλύτερη δυνατή πιθανότητα να επιτύχουν τους στόχους τους", είπε ο Τσάπμαν.
Είναι ενδιαφέρον, το Zscaler σημειώνει ότι τα κακόβουλα συνημμένα εισάγονται ως απαντήσεις σε ενεργά νήματα email. Και πάλι ο Chapman δεν εκπλήσσεται από την εξελιγμένη κοινωνική μηχανική που παίζει σε αυτές τις επιθέσεις. "Μόλις η επίθεση φτάσει στον στόχο, ο κυβερνοεγκληματίας χρειάζεται να αναλάβει δράση - σε αυτήν την περίπτωση, να ανοίξει το συνημμένο email", μοιράστηκε ο Chapman.
Keegan Keplinger, Επικεφαλής Έρευνας και Αναφοράς στο eSentire, που εντόπισε και απέκλεισε δώδεκα περιστατικά καμπάνιας Qakbot μόνο τον Ιούνιο, επεσήμανε επίσης τη χρήση παραβιασμένων εισερχομένων email ως κορυφαίο σημείο της επίθεσης.
"Η προσέγγιση του Qakbot παρακάμπτει τους ελέγχους ανθρώπινης εμπιστοσύνης και οι χρήστες είναι πιο πιθανό να κατεβάσουν και να εκτελέσουν το ωφέλιμο φορτίο, νομίζοντας ότι προέρχεται από μια αξιόπιστη πηγή", είπε ο Keplinger στο Lifewire μέσω email.
Ο Adrien Gendre, Chief Tech and Product Officer στο Vade Secure, επεσήμανε ότι αυτή η τεχνική χρησιμοποιήθηκε επίσης στις επιθέσεις Emotet του 2021.
"Οι χρήστες συνήθως εκπαιδεύονται να αναζητούν πλαστές διευθύνσεις email, αλλά σε μια περίπτωση όπως αυτή, η επιθεώρηση της διεύθυνσης του αποστολέα δεν θα ήταν χρήσιμη επειδή είναι μια νόμιμη, αν και παραβιασμένη, διεύθυνση", είπε ο Gendre στο Lifewire. συζήτηση μέσω email.
Η περιέργεια σκότωσε τη γάτα
Ο Ο Τσάπμαν λέει ότι εκτός από το ότι εκμεταλλεύεται την προϋπάρχουσα σχέση και την εμπιστοσύνη που έχει δημιουργηθεί μεταξύ των εμπλεκόμενων ατόμων, η χρήση κοινών τύπων αρχείων και επεκτάσεων από τους εισβολείς έχει ως αποτέλεσμα οι παραλήπτες να είναι λιγότερο καχύποπτοι και πιο πιθανό να ανοίξουν αυτά τα συνημμένα.
Ο Paul Baird, Chief Technical Security Officer στο Ηνωμένο Βασίλειο στην Qualys, σημειώνει ότι παρόλο που η τεχνολογία θα πρέπει να εμποδίζει αυτούς τους τύπους επιθέσεων, ορισμένες θα ξεφεύγουν πάντα. Προτείνει ότι η ενημέρωση των ανθρώπων για τις τρέχουσες απειλές σε μια γλώσσα που θα καταλαβαίνουν είναι ο μόνος τρόπος για να περιοριστεί η εξάπλωση.
"Οι χρήστες θα πρέπει να προσέχουν και να εκπαιδεύονται, ότι ακόμη και μια αξιόπιστη διεύθυνση email μπορεί να είναι κακόβουλη σε περίπτωση παραβίασης", συμφώνησε ο Gendre. "Αυτό ισχύει ιδιαίτερα όταν ένα email περιλαμβάνει έναν σύνδεσμο ή ένα συνημμένο."
Το Gendre προτείνει στους ανθρώπους να διαβάζουν προσεκτικά τα email τους για να διασφαλίσουν ότι οι αποστολείς είναι αυτοί που ισχυρίζονται ότι είναι. Επισημαίνει ότι τα μηνύματα ηλεκτρονικού ταχυδρομείου που αποστέλλονται από παραβιασμένους λογαριασμούς είναι συχνά σύντομα και σε σημείο με πολύ ωμά αιτήματα, κάτι που είναι ένας καλός λόγος για να επισημάνετε το email ως ύποπτο.
Προσθέτοντας σε αυτό, ο Baird επισημαίνει ότι τα μηνύματα ηλεκτρονικού ταχυδρομείου που αποστέλλονται από το Qakbot θα γράφονται κανονικά διαφορετικά σε σύγκριση με τις συνομιλίες που κάνετε συνήθως με τις επαφές σας, κάτι που θα πρέπει να χρησιμεύει ως ένα άλλο προειδοποιητικό σημάδι. Πριν αλληλεπιδράσετε με τυχόν συνημμένα σε ένα ύποπτο email, ο Baird προτείνει να συνδεθείτε με την επαφή χρησιμοποιώντας ένα ξεχωριστό κανάλι για να επαληθεύσετε την αυθεντικότητα του μηνύματος.
"Αν λάβετε οποιοδήποτε email [με] αρχεία [που] δεν περιμένετε, τότε μην τα κοιτάτε", είναι η απλή συμβουλή του Baird. "Η φράση "Η περιέργεια σκότωσε τη γάτα" ισχύει για οτιδήποτε λαμβάνετε μέσω email."
