Key Takeaways
- Angreifer hinter einer passwortstehlenden Malware verwenden innovative Methoden, um Menschen dazu zu bringen, bösartige E-Mails zu öffnen.
- Die Angreifer verwenden den gehackten Posteingang eines Kontakts, um die mit Malware beladenen Anhänge in laufende E-Mail-Konversationen einzufügen.
-
Sicherheitsforscher schlagen vor, dass der Angriff die Tatsache unterstreicht, dass Menschen Anhänge nicht blind öffnen sollten, auch nicht die von bekannten Kontakten.
Es mag seltsam erscheinen, wenn Ihr Freund in eine E-Mail-Konversation mit einem Anhang springt, den Sie halbwegs erwartet haben, aber Zweifel an der Legitimität der Nachricht könnten Sie vor gefährlicher Malware bewahren.
Sicherheitsdetektive bei Zscaler haben Details über Bedrohungsakteure preisgegeben, die neuartige Methoden verwenden, um der Erkennung zu entgehen und eine potente Malware namens Qakbot in Umlauf zu bringen, die Passwörter stiehlt. Cybersicherheitsforscher sind von dem Angriff alarmiert, aber nicht überrascht, dass Angreifer ihre Techniken verfeinern.
"Cyberkriminelle aktualisieren ständig ihre Angriffe, um eine Entdeckung zu vermeiden und letztendlich ihre Ziele zu erreichen", sagte Jack Chapman, VP of Threat Intelligence bei Egress, gegenüber Lifewire per E-Mail. „Auch wenn wir nicht genau wissen, was sie als nächstes versuchen werden, wissen wir, dass es immer ein nächstes Mal geben wird und dass sich Angriffe ständig weiterentwickeln.“
Friendly Neighbourhood Hacker
In ihrem Beitrag führt Zscaler die verschiedenen Verschleierungstechniken durch, die die Angreifer anwenden, um Opfer dazu zu bringen, ihre E-Mails zu öffnen.
Dazu gehört auch die Verwendung verlockender Dateinamen mit gängigen Formaten wie. ZIP, um Opfer dazu zu verleiten, die schädlichen Anhänge herunterzuladen.
Das Verschleiern von Malware ist seit vielen Jahren eine beliebte Taktik, teilte Chapman mit und sagte, dass sie Angriffe gesehen haben, die in zahlreichen verschiedenen Dateitypen versteckt sind, darunter PDFs und alle Arten von Microsoft Office-Dokumenten.
"Ausgeklügelte Cyberangriffe sind so konstruiert, dass sie die bestmögliche Chance haben, ihre Ziele zu erreichen", sagte Chapman.
Interessanterweise stellt Zscaler fest, dass die schädlichen Anhänge als Antworten in aktive E-Mail-Threads eingefügt werden. Auch hier ist Chapman nicht überrascht von dem ausgeklügelten Social Engineering, das bei diesen Angriffen eine Rolle spielt. „Sobald der Angriff das Ziel erreicht hat, braucht der Cyberkriminelle sie, um Maßnahmen zu ergreifen – in diesem Fall, um den E-Mail-Anhang zu öffnen“, teilte Chapman mit.
Keegan Keplinger, Research and Reporting Lead bei eSentire, das allein im Juni ein Dutzend Qakbot-Kampagnen entdeckte und blockierte, wies auch auf die Verwendung kompromittierter E-Mail-Posteingänge als Höhepunkt des Angriffs hin.
"Der Ansatz von Qakbot umgeht menschliche Vertrauensprüfungen, und Benutzer laden die Payload eher herunter und führen sie aus, weil sie glauben, sie stamme aus einer vertrauenswürdigen Quelle", sagte Keplinger Lifewire per E-Mail.
Adrien Gendre, Chief Tech and Product Officer bei Vade Secure, wies darauf hin, dass diese Technik auch bei den Emotet-Angriffen von 2021 verwendet wurde.
"Benutzer werden normalerweise darauf trainiert, nach gefälschten E-Mail-Adressen zu suchen, aber in einem solchen Fall wäre die Überprüfung der Absenderadresse nicht hilfreich, da es sich um eine legitime, wenn auch kompromittierte Adresse handelt", sagte Gendre gegenüber Lifewire in einem E-Mail-Diskussion.
Neugier tötete die Katze
Chapman sagt, dass die Verwendung gängiger Dateitypen und -erweiterungen nicht nur Vorteile aus der bereits bestehenden Beziehung und dem Vertrauen zwischen den beteiligten Personen zieht, sondern auch dazu führt, dass die Empfänger weniger misstrauisch sind und diese Anhänge eher öffnen.
Paul Baird, Chief Technical Security Officer UK bei Qualys, stellt fest, dass, obwohl die Technologie diese Art von Angriffen blockieren sollte, einige immer durchschlüpfen werden. Er schlägt vor, dass die Information der Menschen über aktuelle Bedrohungen in einer Sprache, die sie verstehen, der einzige Weg ist, die Ausbreitung einzudämmen.
"Benutzer sollten sich darüber im Klaren sein und geschult werden, dass selbst eine vertrauenswürdige E-Mail-Adresse schädlich sein kann, wenn sie kompromittiert wird", stimmte Gendre zu. "Dies gilt insbesondere, wenn eine E-Mail einen Link oder einen Anhang enthält."
Gendre schlägt vor, dass die Leute ihre E-Mails sorgfältig lesen sollten, um sicherzustellen, dass die Absender die sind, für die sie sich ausgeben. Er weist darauf hin, dass E-Mails, die von kompromittierten Konten gesendet werden, oft kurz und auf den Punkt gebracht mit sehr unverblümten Anfragen sind, was ein guter Grund ist, die E-Mail als verdächtig zu kennzeichnen.
Darüber hinaus weist Baird darauf hin, dass die von Qakbot gesendeten E-Mails normalerweise anders geschrieben werden als die Gespräche, die Sie normalerweise mit Ihren Kontakten führen, was als weiteres Warnzeichen dienen sollte. Bevor Sie mit Anhängen in einer verdächtigen E-Mail interagieren, schlägt Baird vor, dass Sie sich über einen separaten Kanal mit dem Kontakt verbinden, um die Authentizität der Nachricht zu überprüfen.
"Wenn Sie eine E-Mail [mit] Dateien erh alten, die Sie nicht erwarten, dann schauen Sie sie nicht an", lautet Bairds einfacher Rat. "Der Ausdruck 'Neugier hat die Katze getötet' gilt für alles, was Sie per E-Mail erh alten."
