Ključni izsledki
- Napadalci, ki stojijo za zlonamerno programsko opremo za krajo gesel, uporabljajo inovativne metode, da ljudi pripravijo do odpiranja zlonamernih e-poštnih sporočil.
- Napadalci uporabijo vdrto mapo »Prejeto« stika, da v tekoče e-poštne pogovore vstavijo priloge, polne zlonamerne programske opreme.
-
Raziskovalci na področju varnosti menijo, da napad poudarja dejstvo, da ljudje ne bi smeli slepo odpirati priponk, niti tistih iz znanih stikov.
Morda se zdi nenavadno, ko vaš prijatelj skoči v e-poštni pogovor s priponko, ki ste jo napol pričakovali, toda dvom o zakonitosti sporočila bi vas lahko rešil pred nevarno zlonamerno programsko opremo.
Varnostni detektivi pri Zscalerju so delili podrobnosti o akterjih groženj, ki uporabljajo nove metode, da bi se izognili odkrivanju, da bi razširjali močno zlonamerno programsko opremo za krajo gesel, imenovano Qakbot. Raziskovalci kibernetske varnosti so zaskrbljeni zaradi napada, vendar niso presenečeni nad napadalci, ki izpopolnjujejo svoje tehnike.
»Kiberkriminalci nenehno posodabljajo svoje napade, da bi se izognili odkritju in na koncu dosegli svoje cilje,« je za Lifewire po e-pošti povedal Jack Chapman, podpredsednik oddelka za obveščanje o grožnjah pri Egressu. "Torej, tudi če ne vemo natančno, kaj bodo naslednjič poskusili, vemo, da bo vedno naslednjič in da se napadi nenehno razvijajo."
Prijazni heker iz soseske
Zscaler v svojem prispevku pregleda različne tehnike zakrivanja, ki jih napadalci uporabljajo, da žrtve pripravijo do odpiranja njihove e-pošte.
To vključuje uporabo vabljivih imen datotek v običajnih formatih, kot je. ZIP, da žrtve pretentate v prenos zlonamernih prilog.
Zakrivanje zlonamerne programske opreme je priljubljena taktika že vrsto let, je dejal Chapman in dejal, da so videli napade, skrite v številnih različnih vrstah datotek, vključno s PDF-ji in vsemi vrstami dokumentov Microsoft Office.
"Sofisticirani kibernetski napadi so zasnovani tako, da imajo najboljše možne možnosti za dosego svojih ciljev," je dejal Chapman.
Zanimivo je, da Zscaler ugotavlja, da so zlonamerne priloge vstavljene kot odgovori v aktivne niti e-pošte. Chapman spet ni presenečen nad prefinjenim socialnim inženiringom v teh napadih. "Ko napad doseže tarčo, mora kibernetski kriminalec ukrepati - v tem primeru odpreti e-poštno prilogo," je delil Chapman.
Keegan Keplinger, vodja raziskav in poročanja pri eSentire, ki je samo junija odkril in blokiral ducat incidentov kampanje Qakbot, je prav tako opozoril na uporabo ogroženih e-poštnih predalov kot vrhunec napada.
"Qakbotov pristop zaobide preverjanje zaupanja s strani človeka in bolj verjetno je, da bodo uporabniki prenesli in izvedli koristni tovor, misleč, da je iz zaupanja vrednega vira," je Keplinger povedal Lifewire po e-pošti.
Adrien Gendre, glavni tehnični in produktni direktor pri Vade Secure, je poudaril, da je bila ta tehnika uporabljena tudi v napadih Emotet leta 2021.
"Uporabniki so običajno usposobljeni za iskanje ponarejenih e-poštnih naslovov, toda v primeru, kot je ta, pregled pošiljateljevega naslova ne bi bil koristen, ker gre za zakonit, čeprav ogrožen naslov," je Gendre povedal za Lifewire v razprava po e-pošti.
Radovednost je ubila mačko
Chapman pravi, da poleg izkoriščanja že obstoječega odnosa in zaupanja, zgrajenega med vpletenimi ljudmi, napadalci z uporabo običajnih vrst datotek in končnic povzročijo, da so prejemniki manj sumničavi in je večja verjetnost, da bodo odprli te priloge.
Paul Baird, vodja tehnične varnosti v Združenem kraljestvu pri Qualys, ugotavlja, da čeprav bi morala tehnologija blokirati tovrstne napade, se bodo nekateri vedno izmuznili. Predlaga, da je obveščanje ljudi o trenutnih grožnjah v jeziku, ki ga razumejo, edini način za zajezitev širjenja.
"Uporabniki bi morali paziti in biti usposobljeni, da je lahko celo zaupanja vreden e-poštni naslov zlonameren, če je ogrožen," se je strinjal Gendre. "To še posebej velja, če e-poštno sporočilo vključuje povezavo ali priponko."
Gendre predlaga, naj ljudje pozorno preberejo svojo e-pošto in se tako prepričajo, da so pošiljatelji tisti, za katere se predstavljajo. Poudarja, da so e-poštna sporočila, poslana iz ogroženih računov, pogosto kratka in jedrnata z zelo odkritimi zahtevami, kar je dober razlog, da e-poštno sporočilo označite kot sumljivo.
K temu doda Baird, poudarja, da bodo e-poštna sporočila, ki jih pošilja Qakbot, običajno napisana drugače v primerjavi s pogovori, ki jih običajno vodite s svojimi stiki, kar bi moralo služiti kot še en opozorilni znak. Pred interakcijo s prilogami v sumljivem e-poštnem sporočilu Baird predlaga, da se povežete s kontaktom prek ločenega kanala, da preverite pristnost sporočila.
»Če prejmete e-pošto [z] datotekami, [ki jih] ne pričakujete, jih ne glejte,« je Bairdov preprost nasvet. "Stavek 'Radovednost je ubila mačko' velja za vse, kar dobite po e-pošti."
