Kľúčové poznatky
- Útočníci za malvérom, ktorý kradne heslá, používajú inovatívne metódy, aby prinútili ľudí otvárať škodlivé e-maily.
- Útočníci používajú napadnutú schránku kontaktu na vloženie príloh s malvérom do prebiehajúcich e-mailových konverzácií.
-
Bezpečnostní výskumníci naznačujú, že útok podčiarkuje skutočnosť, že ľudia by nemali slepo otvárať prílohy, dokonca ani tie od známych kontaktov.
Môže sa to zdať zvláštne, keď váš priateľ skočí do e-mailovej konverzácie s prílohou, ktorú ste napoly očakávali, no pochybnosť o oprávnenosti správy vás môže zachrániť pred nebezpečným malvérom.
Bezpečnostní detektívi zo spoločnosti Zscaler sa podelili o podrobnosti o aktéroch hrozieb, ktorí používajú nové metódy v snahe obísť detekciu a šíriť silný malvér na krádež hesiel s názvom Qakbot. Výskumníci v oblasti kybernetickej bezpečnosti sú týmto útokom znepokojení, ale nie sú prekvapení, keď útočníci zdokonaľujú svoje techniky.
„Kybernetickí zločinci neustále aktualizujú svoje útoky, aby sa vyhli odhaleniu a v konečnom dôsledku dosiahli svoje ciele,“povedal pre Lifewire Jack Chapman, viceprezident pre spravodajstvo hrozieb v Egress. "Takže aj keď nevieme, čo konkrétne skúsia nabudúce, vieme, že vždy bude nabudúce a že útoky sa neustále vyvíjajú."
Hacker z priateľskej štvrte
Vo svojom príspevku Zscaler prechádza rôznymi zahmlievacími technikami, ktoré útočníci používajú, aby prinútili obete, aby otvorili svoj e-mail.
To zahŕňa používanie lákavých názvov súborov s bežnými formátmi, ako je. ZIP, na oklamanie obetí, aby si stiahli škodlivé prílohy.
Zahmlievanie malvéru je už mnoho rokov populárnou taktikou, zdieľal Chapman a povedal, že útoky boli skryté v mnohých rôznych typoch súborov vrátane PDF a všetkých typov dokumentov Microsoft Office.
„Sofistikované kybernetické útoky sú navrhnuté tak, aby mali čo najlepšiu šancu dosiahnuť svoje ciele,“povedal Chapman.
Je zaujímavé, že Zscaler poznamenáva, že škodlivé prílohy sa vkladajú ako odpovede do aktívnych e-mailových vlákien. Chapmana opäť neprekvapuje sofistikované sociálne inžinierstvo v hre pri týchto útokoch. „Keď útok dosiahne cieľ, kyberzločinec od nich potrebuje, aby podnikli kroky – v tomto prípade otvorili prílohu e-mailu,“zdieľa Chapman.
Keegan Keplinger, vedúci výskumu a spravodajstva v eSentire, ktorý len v júni zistil a zablokoval tucet incidentov kampane Qakbot, poukázal aj na použitie napadnutých e-mailových schránok ako na vrchol útoku.
„Prístup Qakbotu obchádza kontroly ľudskej dôvery a používatelia s väčšou pravdepodobnosťou stiahnu a spustia užitočné zaťaženie, pretože si myslia, že pochádza z dôveryhodného zdroja,“povedal Keplinger Lifewire e-mailom.
Adrien Gendre, technický a produktový riaditeľ spoločnosti Vade Secure, poukázal na to, že táto technika bola použitá aj pri útokoch Emotet v roku 2021.
„Používatelia sú bežne školení na to, aby hľadali sfalšované e-mailové adresy, ale v prípade, ako je tento, by kontrola adresy odosielateľa nepomohla, pretože ide o legitímnu, aj keď ohrozenú adresu,“povedal Gendre pre Lifewire emailová diskusia.
Curiosity Killed the Cat
Chapman hovorí, že okrem využitia už existujúceho vzťahu a dôvery vybudovanej medzi zainteresovanými ľuďmi, používanie bežných typov súborov a prípon útočníkmi vedie k tomu, že príjemcovia sú menej podozrievaví a častejšie tieto prílohy otvoria.
Paul Baird, Chief Technical Security Officer UK v Qualys, poznamenáva, že hoci technológia by mala blokovať tieto typy útokov, niektoré vždy prekĺznu. Navrhuje, aby boli ľudia informovaní o súčasných hrozbách v jazyku, ktorému budú rozumieť, je jediný spôsob, ako obmedziť šírenie.
„Používatelia by si mali dávať pozor a byť vyškolení, že aj dôveryhodná e-mailová adresa môže byť škodlivá, ak je kompromitovaná,“súhlasil Gendre. "To platí najmä vtedy, keď e-mail obsahuje odkaz alebo prílohu."
Gendre odporúča ľuďom, aby si pozorne prečítali svoje e-maily, aby sa uistili, že odosielatelia sú tí, za ktorých sa vydávajú. Poukazuje na to, že e-maily odoslané z napadnutých účtov sú často krátke a majú veľmi strohé požiadavky, čo je dobrý dôvod na označenie e-mailu ako podozrivého.
Baird okrem toho poukazuje na to, že e-maily odoslané Qakbotom budú zvyčajne napísané inak v porovnaní s konverzáciami, ktoré zvyčajne vediete so svojimi kontaktmi, čo by malo slúžiť ako ďalší varovný signál. Pred interakciou s akýmikoľvek prílohami v podozrivom e-maile Baird navrhuje, aby ste sa spojili s kontaktom pomocou samostatného kanála, aby ste overili pravosť správy.
„Ak dostanete nejaký e-mail [so] súbormi, ktoré [ktoré] neočakávate, potom sa na ne nepozerajte,“znie Bairdova jednoduchá rada. „Fráza „Zvedavosť zabila mačku“sa vzťahuje na všetko, čo dostanete e-mailom.“
