Klíčové poznatky
- Útočníci za malwarem ke krádeži hesel používají inovativní metody, aby přiměli lidi, aby otevírali škodlivé e-maily.
- Útočníci používají napadenou schránku kontaktu k vložení příloh nabitých malwarem do probíhajících e-mailových konverzací.
-
Bezpečnostní výzkumníci naznačují, že útok podtrhuje skutečnost, že lidé by neměli slepě otevírat přílohy, ani ty od známých kontaktů.
Může to vypadat divně, když váš přítel skočí do e-mailové konverzace s přílohou, kterou jste napůl očekávali, ale pochybování o legitimitě zprávy vás může zachránit před nebezpečným malwarem.
Bezpečnostní detektivové ve společnosti Zscaler se podělili o podrobnosti o aktérech hrozeb, kteří používají nové metody ve snaze vyhnout se detekci a šířit silný malware zvaný Qakbot ke krádeži hesel. Výzkumníci kybernetické bezpečnosti jsou tímto útokem znepokojeni, ale nejsou překvapeni útočníky, kteří zdokonalují své techniky.
„Kyberzločinci neustále aktualizují své útoky, aby se vyhnuli odhalení a nakonec dosáhli svých cílů,“řekl Lifewire e-mailem Jack Chapman, viceprezident Threat Intelligence ve společnosti Egress. "Takže i když nevíme, co konkrétně zkusí příště, víme, že vždy bude příště a že útoky se neustále vyvíjejí."
Hacker přátelského sousedství
Ve svém příspěvku Zscaler prochází různými matoucími technikami, které útočníci používají, aby přiměli oběti, aby otevřely svůj e-mail.
To zahrnuje používání lákavých názvů souborů s běžnými formáty, jako je. ZIP, k přimání obětí ke stažení škodlivých příloh.
Zamlžování malwaru je oblíbenou taktikou již mnoho let, řekl Chapman a řekl, že viděli útoky skryté v mnoha různých typech souborů, včetně PDF a všech typů dokumentů Microsoft Office.
„Sofistikované kybernetické útoky jsou navrženy tak, aby měly tu nejlepší možnou šanci dosáhnout svých cílů,“řekl Chapman.
Je zajímavé, že Zscaler poznamenává, že škodlivé přílohy jsou vkládány jako odpovědi do aktivních e-mailových vláken. Chapmana opět nepřekvapuje sofistikované sociální inženýrství, které je při těchto útocích ve hře. "Jakmile útok dosáhne cíle, kyberzločinec je potřebuje, aby podnikli kroky - v tomto případě otevřeli přílohu e-mailu," sdílel Chapman.
Keegan Keplinger, vedoucí výzkumu a hlášení ve společnosti eSentire, která jen v červnu odhalila a zablokovala tucet incidentů kampaně Qakbot, také poukázala na použití kompromitovaných e-mailových schránek jako hlavní bod útoku.
„Přístup Qakbota obchází kontroly lidské důvěry a uživatelé si s větší pravděpodobností stáhnou a spustí užitečné zatížení, protože si myslí, že je z důvěryhodného zdroje,“řekl Keplinger Lifewire e-mailem.
Adrien Gendre, technický a produktový ředitel ve Vade Secure, poukázal na to, že tato technika byla také použita při útocích Emotet v roce 2021.
„Uživatelé jsou běžně trénováni, aby hledali falešné e-mailové adresy, ale v takovém případě by kontrola adresy odesílatele nepomohla, protože se jedná o legitimní, i když kompromitovanou adresu,“řekl Gendre v dokumentu Lifewire e-mailová diskuze.
Curiosity Killed the Cat
Chapman říká, že kromě využití již existujícího vztahu a důvěry vybudované mezi zúčastněnými lidmi má používání běžných typů souborů a přípon útočníky za následek, že příjemci jsou méně podezřívaví a častěji tyto přílohy otevřou.
Paul Baird, Chief Technical Security Officer UK ve společnosti Qualys, poznamenává, že ačkoli technologie by měla blokovat tyto typy útoků, některé vždy proklouznou. Navrhuje, aby si lidé byli vědomi aktuálních hrozeb v jazyce, kterému budou rozumět, je jediný způsob, jak omezit šíření.
„Uživatelé by si měli dávat pozor a být vyškoleni, že i důvěryhodná e-mailová adresa může být v případě kompromitace škodlivá,“souhlasil Gendre. "To platí zejména tehdy, když e-mail obsahuje odkaz nebo přílohu."
Gendre doporučuje lidem, aby si pečlivě přečetli své e-maily, aby se ujistili, že odesílatelé jsou tím, za koho se vydávají. Poukazuje na to, že e-maily odeslané z kompromitovaných účtů jsou často krátké a mají velmi neomalené požadavky, což je dobrý důvod označit e-mail jako podezřelý.
Baird navíc zdůrazňuje, že e-maily zaslané Qakbotem budou normálně psány jinak než konverzace, které obvykle vedete se svými kontakty, což by mělo sloužit jako další varovný signál. Před interakcí s jakýmikoli přílohami v podezřelém e-mailu vám Baird doporučuje, abyste se spojili s kontaktem pomocí samostatného kanálu a ověřili pravost zprávy.
„Pokud dostanete e-mail [se] soubory, které [které] neočekáváte, nedívejte se na ně,“je jednoduchá rada Bairda. „Fráze ‚Zvědavost zabila kočku‘se vztahuje na vše, co dostanete e-mailem.“