Sleutel wegneemetes
- Aanvallers agter 'n wanware wat 'n wagwoord steel, gebruik innoverende metodes om mense te kry om kwaadwillige e-posse oop te maak.
- Die aanvallers gebruik 'n kontak se gekapte inkassie om die wanware-belaaide aanhegsels in deurlopende e-posgesprekke in te voeg.
-
Sekuriteitsnavorsers stel voor dat die aanval die feit onderstreep dat mense nie blindelings aanhegsels moet oopmaak nie, selfs nie dié van bekende kontakte nie.
Dit lyk dalk vreemd wanneer jou vriend in 'n e-posgesprek spring met 'n aanhangsel wat jy half verwag het, maar twyfel oor die wettigheid van die boodskap kan jou van gevaarlike wanware red.
Sekuriteitsspeurders by Zscaler het besonderhede gedeel oor bedreigingsakteurs wat nuwe metodes gebruik in 'n poging om opsporing te systap, om 'n kragtige wagwoord te versprei wat wanware genaamd Qakbot steel. Kuberveiligheidsnavorsers is bekommerd oor die aanval, maar nie verras deur aanvallers wat hul tegnieke verfyn nie.
"Kubermisdadigers werk voortdurend hul aanvalle op om opsporing te probeer vermy en uiteindelik hul doelwitte te bereik," het Jack Chapman, VP van Threat Intelligence by Egress, per e-pos aan Lifewire gesê. "So selfs al weet ons nie spesifiek wat hulle volgende gaan probeer nie, weet ons daar sal altyd 'n volgende keer wees, en dat aanvalle voortdurend ontwikkel."
Friendly Neighborhood Hacker
In hul plasing loop Zscaler deur die verskillende verduisteringstegnieke wat die aanvallers gebruik om slagoffers te kry om hul e-pos oop te maak.
Dit sluit in die gebruik van aanloklike lêername met algemene formate, soos. ZIP, om slagoffers te mislei om die kwaadwillige aanhangsels af te laai.
Verduistering van wanware is nou al vir baie jare 'n gewilde taktiek, het Chapman gedeel en gesê hulle het aanvalle gesien wat in talle verskillende lêertipes versteek is, insluitend PDF's en elke Microsoft Office-dokumenttipe.
"Gesofistikeerde kuberaanvalle is ontwerp om die beste moontlike kans te staan om hul teikens te bereik," het Chapman gesê.
Interessant genoeg merk Zscaler op dat die kwaadwillige aanhangsels as antwoorde in aktiewe e-posdrade ingevoeg word. Weereens is Chapman nie verras deur die gesofistikeerde sosiale ingenieurswese wat in hierdie aanvalle speel nie. "Sodra die aanval die teiken bereik het, het die kubermisdadiger nodig dat hulle aksie neem - in hierdie geval, om die e-posaanhangsel oop te maak," het Chapman gedeel.
Keegan Keplinger, navorsings- en verslagdoeningsleier by eSentire, wat 'n dosyn Qakbot-veldtogvoorvalle in Junie alleen opgespoor en geblokkeer het, het ook gewys op die gebruik van gekompromitteerde e-pos inkassies as 'n hoogtepunt van die aanval.
"Qakbot se benadering omseil menslike vertroue-kontroles, en gebruikers is meer geneig om die loonvrag af te laai en uit te voer, omdat hulle dink dit is van 'n betroubare bron," het Keplinger per e-pos aan Lifewire gesê.
Adrien Gendre, hooftegnologie- en produkbeampte by Vade Secure, het daarop gewys dat hierdie tegniek ook in 2021 se Emotet-aanvalle gebruik is.
"Gebruikers word gewoonlik opgelei om na vervalste e-posadresse te soek, maar in 'n geval soos hierdie sal dit nie nuttig wees om die sender se adres te inspekteer nie, want dit is 'n wettige, alhoewel gekompromitteerde, adres," het Gendre aan Lifewire gesê. e-posbespreking.
Curiosity Killed the Cat
Chapman sê dat, benewens om voordeel te trek uit die bestaande verhouding en vertroue wat tussen die betrokke mense gebou is, aanvallers se gebruik van algemene lêertipes en uitbreidings daartoe lei dat ontvangers minder agterdogtig is en meer geneig is om hierdie aanhangsels oop te maak.
Paul Baird, Hoof Tegniese Sekuriteitsbeampte UK by Qualys, merk op dat hoewel tegnologie hierdie tipe aanvalle behoort te blokkeer, sal sommige altyd deurglip. Hy stel voor dat om mense bewus te hou van huidige bedreigings in 'n taal wat hulle sal verstaan, die enigste manier is om die verspreiding te bekamp.
"Gebruikers moet oppas, en opgelei word, dat selfs 'n vertroude e-posadres kwaadwillig kan wees as dit gekompromitteer word," het Gendre saamgestem. "Dit is veral waar wanneer 'n e-pos 'n skakel of 'n aanhegsel insluit."
Gendre stel voor dat mense hul e-posse noukeurig moet lees om te verseker dat senders is wie hulle beweer hulle is. Hy wys daarop dat e-posse wat van gekompromitteerde rekeninge gestuur word, dikwels kort en op die punt is met baie stomp versoeke, wat 'n goeie rede is om die e-pos as verdag te vlag.
Baird wys daarop dat die e-posse wat deur Qakbot gestuur word, gewoonlik anders geskryf sal word in vergelyking met die gesprekke wat jy gewoonlik met jou kontakte voer, wat as nog 'n waarskuwingsteken behoort te dien. Voordat jy met enige aanhangsels in 'n verdagte e-pos interaksie het, stel Baird voor dat jy met die kontak kontak maak deur 'n aparte kanaal te gebruik om die egtheid van die boodskap te verifieer.
"As jy enige e-pos kry [met] lêers wat [jy] nie verwag nie, moet dan nie daarna kyk nie," is Baird se eenvoudige raad. "Die frase 'Nuuskierigheid het die kat doodgemaak' is van toepassing op enigiets wat jy per e-pos kry."