Ключови изводи
- Нападателите зад зловреден софтуер за кражба на пароли използват иновативни методи, за да накарат хората да отварят злонамерени имейли.
- Нападателите използват хакната входяща кутия на контакт, за да вмъкнат прикачени файлове, натоварени със злонамерен софтуер, в текущи имейл разговори.
-
Изследователите по сигурността предполагат, че атаката подчертава факта, че хората не трябва да отварят сляпо прикачени файлове, дори тези от познати контакти.
Може да изглежда странно, когато ваш приятел влезе в имейл разговор с прикачен файл, който наполовина сте очаквали, но съмнението в легитимността на съобщението може да ви спаси от опасен зловреден софтуер.
Служителите по сигурността в Zscaler споделиха подробности за участниците в заплахите, използващи нови методи в опит да заобиколят откриването, за да разпространяват мощен зловреден софтуер за кражба на пароли, наречен Qakbot. Изследователите на киберсигурността са разтревожени от атаката, но не са изненадани от нападателите, които усъвършенстват своите техники.
„Киберпрестъпниците непрекъснато актуализират своите атаки, за да се опитат да избегнат откриването и в крайна сметка да постигнат целите си“, каза Джак Чапман, вицепрезидент на Threat Intelligence в Egress, пред Lifewire по имейл. „Така че дори и да не знаем конкретно какво ще опитат след това, знаем, че винаги ще има следващ път и че атаките непрекъснато се развиват.“
Приятелски хакер от квартала
В публикацията си Zscaler разглежда различните замъгляващи техники, които нападателите използват, за да накарат жертвите да отворят имейла си.
Това включва използването на примамливи имена на файлове с често срещани формати, като например. ZIP, за подвеждане на жертвите да изтеглят злонамерените прикачени файлове.
Заблуждаването на злонамерен софтуер е популярна тактика от много години насам, сподели Чапман, като каза, че са виждали атаки, скрити в множество различни типове файлове, включително PDF файлове и всеки тип документ на Microsoft Office.
"Сложните кибератаки са проектирани така, че да имат най-добрия възможен шанс да достигнат целите си", каза Чапман.
Интересното е, че Zscaler отбелязва, че злонамерените прикачени файлове се вмъкват като отговори в активни имейл нишки. Отново Чапман не е изненадан от сложното социално инженерство в тези атаки. „След като атаката достигне целта, киберпрестъпникът се нуждае от тях, за да предприемат действия – в този случай, да отворят прикачения имейл“, сподели Чапман.
Keegan Keplinger, ръководител на изследванията и докладите в eSentire, който откри и блокира дузина инциденти с кампания на Qakbot само през юни, също посочи използването на компрометирани имейл кутии като акцент в атаката.
"Подходът на Qakbot заобикаля проверките за доверие от хора и потребителите са по-склонни да изтеглят и изпълняват полезния товар, мислейки, че е от доверен източник", каза Кеплингер пред Lifewire по имейл.
Адриен Жандре, главен технически и продуктов директор във Vade Secure, посочи, че тази техника е била използвана и при атаките на Emotet през 2021 г.
„Потребителите обикновено са обучени да търсят фалшиви имейл адреси, но в случай като този, проверката на адреса на подателя не би била полезна, защото това е легитимен, макар и компрометиран адрес,“каза Жандре пред Lifewire в имейл дискусия.
Любопитството уби котката
Chapman казва, че в допълнение към възползването от вече съществуващата връзка и доверието, изградено между участващите хора, използването от страна на нападателите на общи типове файлове и разширения води до това, че получателите са по-малко подозрителни и е по-вероятно да отворят тези прикачени файлове.
Пол Беърд, Главен технически служител по сигурността на Обединеното кралство в Qualys, отбелязва, че въпреки че технологията трябва да блокира тези видове атаки, някои винаги ще се промъкнат. Той предполага, че информирането на хората за настоящите заплахи на език, който разбират, е единственият начин за ограничаване на разпространението.
"Потребителите трябва да внимават и да бъдат обучени, че дори доверен имейл адрес може да бъде злонамерен, ако бъде компрометиран", съгласи се Жандре. „Това е особено вярно, когато имейлът включва връзка или прикачен файл.“
Gendre предлага хората да четат внимателно имейлите си, за да се уверят, че подателите са тези, за които се представят. Той посочва, че имейлите, изпратени от компрометирани акаунти, често са кратки и съдържат много груби искания, което е добра причина да маркирате имейла като подозрителен.
Като добави към това, Baird посочва, че имейлите, изпратени от Qakbot, обикновено ще бъдат написани по различен начин в сравнение с разговорите, които обикновено водите с вашите контакти, което трябва да служи като още един предупредителен знак. Преди да взаимодействате с каквито и да е прикачени файлове в подозрителен имейл, Baird предлага да се свържете с контакта, използвайки отделен канал, за да проверите автентичността на съобщението.
"Ако получите имейл [с] файлове, [които] не очаквате, тогава не ги поглеждайте", е лесният съвет на Беърд. „Фразата „Любопитството уби котката“се отнася за всичко, което получавате по имейл.“