Ključni podaci za van
- Napadači koji stoje iza zlonamjernog softvera za krađu lozinki koriste inovativne metode kako bi naveli ljude da otvore zlonamjernu e-poštu.
- Napadači koriste hakirani inbox kontakta kako bi umetnuli privitke pune zlonamjernog softvera u tekuće razgovore putem e-pošte.
-
Istraživači sigurnosti sugeriraju da napad naglašava činjenicu da ljudi ne bi trebali naslijepo otvarati privitke, čak ni one od poznatih kontakata.
Moglo bi izgledati čudno kada vaš prijatelj uskoči u razgovor putem e-pošte s privitkom koji ste napola očekivali, ali sumnja u legitimnost poruke mogla bi vas spasiti od opasnog zlonamjernog softvera.
Sigurnosni detektivi u Zscaleru podijelili su pojedinosti o akterima prijetnji koji koriste nove metode u pokušaju da zaobiđu otkrivanje, kako bi kružili moćnim malwareom za krađu lozinki pod nazivom Qakbot. Istraživači kibernetičke sigurnosti zabrinuti su zbog napada, ali nisu iznenađeni što napadači usavršavaju svoje tehnike.
"Kibernetički kriminalci neprestano ažuriraju svoje napade kako bi izbjegli otkrivanje i, u konačnici, postigli svoje ciljeve", rekao je Jack Chapman, potpredsjednik Threat Intelligence u Egressu, putem e-pošte za Lifewire. "Dakle, čak i ako ne znamo konkretno što će sljedeće pokušati, znamo da će uvijek doći sljedeći put i da se napadi neprestano razvijaju."
Prijateljski haker iz susjedstva
U svom postu, Zscaler prolazi kroz različite tehnike zamagljivanja koje napadači koriste kako bi naveli žrtve da otvore njihovu e-poštu.
To uključuje korištenje primamljivih naziva datoteka s uobičajenim formatima, kao što je. ZIP, kako bi se žrtve prevarile da preuzmu zlonamjerne privitke.
Prikrivanje zlonamjernog softvera popularna je taktika već mnogo godina, podijelio je Chapman, rekavši da su vidjeli napade skrivene u brojnim različitim vrstama datoteka, uključujući PDF-ove i sve vrste dokumenata Microsoft Officea.
"Sofisticirani kibernetički napadi osmišljeni su tako da imaju najbolje moguće šanse za postizanje svojih ciljeva," rekao je Chapman.
Zanimljivo, Zscaler primjećuje da se zlonamjerni privici ubacuju kao odgovori u aktivne niti e-pošte. Chapman opet nije iznenađen sofisticiranim društvenim inženjeringom u igri u ovim napadima. "Nakon što napad dosegne metu, kibernetički kriminalac mora nešto poduzeti - u ovom slučaju, otvoriti privitak e-pošte", podijelio je Chapman.
Keegan Keplinger, voditelj istraživanja i izvješćivanja u eSentireu, koji je otkrio i blokirao desetak incidenata Qakbot kampanje samo u lipnju, također je ukazao na korištenje kompromitiranih pretinca e-pošte kao vrhunac napada.
"Qakbotov pristup zaobilazi provjere ljudskog povjerenja, a korisnici će vjerojatnije preuzeti i izvršiti korisni sadržaj, misleći da je iz pouzdanog izvora," rekao je Keplinger Lifewireu putem e-pošte.
Adrien Gendre, glavni tehnički i proizvodni direktor u Vade Secureu, istaknuo je da je ova tehnika također korištena u napadima Emotet 2021.
"Korisnici su obično obučeni da traže lažirane adrese e-pošte, ali u slučaju kao što je ovaj, provjera adrese pošiljatelja ne bi bila od pomoći jer je to legitimna, iako kompromitirana adresa," rekao je Gendre za Lifewire u rasprava e-poštom.
Znatiželja je ubila mačku
Chapman kaže da uz iskorištavanje već postojećeg odnosa i povjerenja izgrađenog između uključenih ljudi, napadači koriste uobičajene vrste datoteka i ekstenzije za posljedicu da su primatelji manje sumnjičavi i veća je vjerojatnost da će otvoriti te privitke.
Paul Baird, glavni tehnički službenik za sigurnost UK u Qualysu, napominje da iako bi tehnologija trebala blokirati ove vrste napada, neki će se uvijek provući. Predlaže da je informiranje ljudi o trenutnim prijetnjama na jeziku koji će razumjeti jedini način za suzbijanje širenja.
"Korisnici bi trebali paziti i biti obučeni da čak i pouzdana adresa e-pošte može biti zlonamjerna ako je ugrožena," složio se Gendre. "Ovo je osobito istinito kada e-poruka uključuje vezu ili privitak."
Gendre predlaže da ljudi pažljivo čitaju svoje e-poruke kako bi bili sigurni da su pošiljatelji oni za koje se predstavljaju. Ističe da su e-poruke poslane s kompromitiranih računa često kratke i precizne s vrlo izravnim zahtjevima, što je dobar razlog da se e-pošta označi kao sumnjiva.
Dodajući ovo, Baird ističe da će e-poruke koje šalje Qakbot obično biti drugačije napisane u usporedbi s razgovorima koje obično vodite sa svojim kontaktima, što bi trebalo poslužiti kao još jedan znak upozorenja. Prije interakcije s bilo kakvim privicima u sumnjivoj e-poruci, Baird predlaže da se povežete s kontaktom pomoću zasebnog kanala kako biste provjerili autentičnost poruke.
"Ako dobijete bilo kakvu e-poštu [s] datotekama [koje] ne očekujete, nemojte ih gledati," jednostavan je Bairdov savjet. "Izraz 'Radoznalost je ubila mačku' odnosi se na sve što dobijete putem e-pošte."