Key Takeaways
- Napadači koji stoje iza zlonamjernog softvera za krađu lozinke koriste inovativne metode da navedu ljude da otvore zlonamjerne e-poruke.
- Napadači koriste hakirano prijemno sanduče kontakta kako bi ubacili priloge opterećene zlonamjernim softverom u tekuće razgovore e-pošte.
-
Sigurnosni istraživači sugeriraju da napad naglašava činjenicu da ljudi ne bi trebali slijepo otvarati priloge, čak ni one iz poznatih kontakata.
Može izgledati čudno kada vaš prijatelj uskoči u razgovor putem e-pošte s prilogom koji ste napola očekivali, ali sumnja u legitimnost poruke bi vas mogla spasiti od opasnog zlonamjernog softvera.
Sigurnosni istražitelji u Zscaler-u podijelili su detalje o akterima prijetnji koji koriste nove metode u pokušaju da zaobiđu detekciju, kako bi proširili moćni zlonamjerni softver za krađu lozinke pod nazivom Qakbot. Istraživači kibernetičke sigurnosti su uznemireni napadom, ali nisu iznenađeni napadačima koji usavršavaju svoje tehnike.
"Sajber-kriminalci stalno ažuriraju svoje napade kako bi pokušali izbjeći otkrivanje i, na kraju, postigli svoje ciljeve", rekao je Jack Chapman, potpredsjednik obavještajne službe za prijetnje u Egress-u, za Lifewire putem e-pošte. "Dakle, čak i ako ne znamo konkretno šta će sljedeće pokušati, znamo da će uvijek biti sljedeći put i da se napadi stalno razvijaju."
Friendly Neighborhood Hacker
U svom postu, Zscaler prolazi kroz razne tehnike zamagljivanja koje napadači koriste kako bi naveli žrtve da otvore svoju e-poštu.
Ovo uključuje korištenje primamljivih naziva datoteka sa uobičajenim formatima, kao što je. ZIP, da bi se žrtve prevare da preuzmu zlonamjerne priloge.
Prikrivanje zlonamjernog softvera je popularna taktika već dugi niz godina, podijelio je Chapman, rekavši da su vidjeli napade skrivene u brojnim različitim tipovima datoteka, uključujući PDF-ove i sve vrste dokumenata Microsoft Office-a.
"Sofisticirani sajber napadi su dizajnirani da izdrže najbolje moguće šanse da dostignu svoje ciljeve", rekao je Chapman.
Zanimljivo, Zscaler primjećuje da su zlonamjerni prilozi umetnuti kao odgovori u aktivnim nitima e-pošte. Opet Chapman nije iznenađen sofisticiranim društvenim inženjeringom koji je u igri u ovim napadima. "Kada napad dosegne cilj, sajber kriminalac mora da preduzme akciju - u ovom slučaju, da otvori prilog e-pošte", podijelio je Chapman.
Keegan Keplinger, voditelj istraživanja i izvještavanja u eSentireu, koji je otkrio i blokirao desetak incidenata u kampanji Qakbot samo u junu, također je ukazao na korištenje kompromitovanih sandučića e-pošte kao vrhunac napada.
"Qakbotov pristup zaobilazi provjere povjerenja ljudi, a vjerovatnije je da će korisnici preuzeti i izvršiti učitavanje, misleći da je iz pouzdanog izvora", rekao je Keplinger za Lifewire putem e-pošte.
Adrien Gendre, glavni tehnički i proizvodni direktor u Vade Secure-u, istakao je da je ova tehnika korištena iu Emotet napadima 2021. godine.
"Korisnici su obično obučeni da traže lažne adrese e-pošte, ali u slučaju kao što je ovaj, provjera adrese pošiljatelja ne bi bila od pomoći jer je to legitimna, iako kompromitirana, adresa", rekao je Gendre za Lifewire u email diskusija.
Radoznalost je ubila mačku
Chapman kaže da pored iskorišćavanja već postojećeg odnosa i povjerenja izgrađenog između uključenih ljudi, korištenje uobičajenih tipova datoteka i ekstenzija od strane napadača dovodi do toga da primaoci budu manje sumnjičavi i vjerojatnije će otvoriti ove priloge.
Paul Baird, glavni službenik za tehničku sigurnost UK u Qualysu, napominje da iako tehnologija treba da blokira ove vrste napada, neki će uvijek proći. On sugerira da je držanje ljudi svjesnim trenutnih prijetnji na jeziku koji će razumjeti jedini način za suzbijanje širenja.
"Korisnici treba da paze i da budu obučeni da čak i pouzdana adresa e-pošte može biti zlonamerna ako je ugrožena", složio se Gendre. "Ovo je posebno tačno kada e-mail sadrži link ili prilog."
Gendre sugerira da bi ljudi trebali pažljivo pročitati svoje e-poruke kako bi bili sigurni da su pošiljaoci oni za koje tvrde da jesu. Ističe da su e-poruke koje se šalju sa kompromitovanih naloga često kratke i do tačke sa veoma grubim zahtevima, što je dobar razlog da se mejl označi kao sumnjiv.
Dodajući ovome, Baird ističe da će e-poruke koje šalje Qakbot obično biti drugačije napisane u poređenju sa razgovorima koje obično vodite sa svojim kontaktima, što bi trebalo da posluži kao još jedan znak upozorenja. Prije nego što stupite u interakciju s bilo kakvim prilozima u sumnjivoj e-poruci, Baird predlaže da se povežete s kontaktom koristeći poseban kanal kako biste provjerili autentičnost poruke.
"Ako dobijete bilo kakvu e-poštu [sa] fajlovima [koje] ne očekujete, onda ih ne gledajte", jednostavan je Bairdov savjet. "Izraz 'Radoznalost je ubio mačku' odnosi se na sve što dobijete putem e-pošte."
