Dit rapport toont aan dat een groot gedeelte van de cybercriminelen die malwarefamilies verspreiden – waaronder QakBot, IceID, Emotet en RedLine Stealer – overstappen naar snelkoppelingen (LNK-bestanden) om malware te verspreiden.
Snelkoppelingen vervangen de macro’s van Office – die standaard worden geblokkeerd in Office – als een manier voor aanvallers om voet aan de grond te krijgen in netwerken, door gebruikers ertoe te verleiden hun pc’s te infecteren met malware. Deze toegang kan worden gebruikt om waardevolle bedrijfsgegevens te stelen. Ook kunnen deze worden doorverkocht aan ransomware-groepen, wat kan leiden tot grootschalige inbreuken die de bedrijfsactiviteiten kunnen stilleggen en resulteren in aanzienlijke herstelkosten.
Cybercriminelen plaatsen vaak snelkoppelingsbestanden in ZIP e-mailbijlagen om hen te helpen e-mailscanners te ontwijken. Het HP Wolf Security threat researchteam zag ook dat LNK-malwarebouwers te koop waren op hackerforums, waardoor het voor cybercriminelen makkelijk werd om over te schakelen op deze “macrovrije” code-uitvoeringstechniek. “Het openen van een snelkoppeling of HTML-bestand lijkt misschien onschadelijk voor een werknemer, maar dit kan leiden tot een groot risico voor de onderneming”, legt Alex Holland uit, Senior Malware Analyst van het HP Wolf Security threat researchteam. “We raden aan om snelkoppelingsbestanden die als e-mailbijlagen zijn ontvangen of van het web gedownload zijn onmiddellijk te blokkeren.”
HTML-smokkel ligt op de loer
HP heeft verschillende phishingcampagnes geïdentificeerd bestaande uit e-mails die zich voordeden als regionale postdiensten of – zoals HP voorspelde – grote evenementen zoals Doha Expo 2023 (waar wereldwijd meer dan 3 miljoen bezoekers op afkomen) waarbij HTML-smokkel werd gebruikt om malware af te leveren. Met deze techniek kunnen gevaarlijke bestandstypen organisaties worden binnengesmokkeld en tot malware-infecties leiden, die anders door e-mailgateways zouden worden geblokkeerd.
Aanvallers maken misbruik van het beveiligingslek dat is ontstaan door de Zero-Day-kwetsbaarheid Follina (CVE 2022-30190)
Na de bekendmaking ervan hebben meerdere bedreigers misbruik gemaakt van het recente ‘zero-day’-lek in het Microsoft Support Diagnostic Tool (MSDT), dat de naam ‘Follina’ kreeg, om QakBot, Agent Tesla en de Remcos RAT (Remote Access Trojan) te verspreiden voordat er een patch beschikbaar was. De kwetsbaarheid is bijzonder gevaarlijk omdat aanvallers er arbitraire codes mee kunnen uitvoeren om malware te implementeren. Er is weinig interactie van de gebruiker nodig om de kwetsbaarheid uit te buiten op het door de aanvallers voorziene apparaat.
Nieuwe uitvoeringstechniek zorgt voor verspreiding van SVCReady-malware door verborgen shellcode in documenten
HP heeft tevens een phishingcampagne ontdekt die een nieuwe malwarefamilie genaamd SVCReady verspreidt. Deze familie valt op door de ongebruikelijke manier waarop de malware op doelcomputers wordt afgeleverd – via shellcode die in de eigenschappen van Office-documenten is verborgen. De malware – die voornamelijk is ontworpen om secundaire malware payloads te downloaden naar geïnfecteerde computers nadat er systeeminformatie en schermafbeeldingen zijn verzameld – bevindt zich nog in een vroeg ontwikkelingsstadium en is de afgelopen maanden verschillende keren geupdated.
Andere belangrijke bevindingen in het rapport zijn:
- 14% van de e-mailmalware die door HP Wolf Security werd vastgelegd, omzeilde ten minste één e-mailgatewayscanner.
- Bedreigingsactoren gebruikten 593 verschillende malwarefamilies in hun pogingen om organisaties te infecteren, vergeleken met 545 in het voorgaande kwartaal.
- Spreadsheets bleven het belangrijkste kwaadaardige bestandstype, maar het bedreigingsonderzoeksteam zag een stijging van 11% in archiefbedreigingen – wat suggereert dat aanvallers steeds vaker bestanden in archiefbestanden plaatsen voordat ze worden verzonden om detectie te omzeilen.
- 69% van de gedetecteerde malware werd geleverd via e-mail, terwijl web downloads verantwoordelijk waren voor 17%.
- De meest voorkomende phishing-lokkers waren zakelijke transacties zoals “Bestelling”, “Betaling”, “Aankoop”, “Verzoek” en “Factuur”
Reacties
Loading…