Het aantal aanvallers dat schadelijke Microsoft Excel-invoegtoepassingen (.xll) gebruikt om systemen van slachtoffers te infecteren, is bijna zeven keer zo groot geworden als in het voorgaande kwartaal. Dergelijke aanvallen bleken erg gevaarlijk, want. Om de malware te starten, hoeft u alleen maar op het bestand te klikken dat door de cybercrimineel is verzonden. Het team vond ook advertenties op het dark web voor "droppers" (software voor het leveren en uitvoeren van .xll-bestanden) en complete softwareontwikkelingskits die het voor onervaren aanvallers gemakkelijker maken om dergelijke campagnes uit te voeren.

In een recente QakBot-spamcampagne verspreidden aanvallers Excel-bestanden via gecompromitteerde e-mailaccounts. De criminelen onderschepten e-mails en stuurden valse reactieberichten met een kwaadaardig Excel-bestand (.xlsb) als bijlage. Eenmaal afgeleverd op het apparaat van het slachtoffer, injecteert QakBot zichzelf in OS-processen om detectie te voorkomen. Schadelijke Excel-bestanden (.xls) zijn ook gebruikt om de Ursnif banking-trojan via spam te verspreiden naar Italiaanssprekende bedrijven en overheidsorganisaties. Tegelijkertijd deden de aanvallers zich voor als medewerkers van de Italiaanse koeriersdienst BRT. De nieuwe malwarecampagnes van Emotet gebruiken nu ook Excel in plaats van JavaScript of Word-bestanden.

Andere opmerkelijke bedreigingen die door beveiligingsexperts van HP Wolf Security zijn geïdentificeerd, zijn onder meer:

Mogelijke teruggave van TA505. HP ontdekte een MirrorBlast phishing-campagne waarin hackers dezelfde tactieken, methoden en procedures gebruikten als TA505, een groep cybercriminelen die bekend staat om hun massale kwaadaardige spamcampagnes en het genereren van inkomsten uit toegang tot geïnfecteerde systemen met behulp van ransomware. De nieuwe campagne is gericht op organisaties en maakt gebruik van de FlawedGrace Remote Access Trojan (RAT).

Nep gamingplatform dat kwaadaardige RedLine-code verspreidt. HP-specialisten ontdekten een nepwebsite met een Discord-client die was geïnfecteerd met RedLine-code die gebruikersgegevens had gestolen.

Het gebruik van ongebruikelijke bestandstypen door hackers kan nog steeds beveiligingssystemen omzeilen. De cybercriminelengroep Aggah richt zich op Koreaans sprekende organisaties en gebruikt kwaadaardige PowerPoint-invoegtoepassingen (.ppa) die zijn vermomd als klantorders om systemen te infecteren met Trojaanse paarden voor externe toegang. Aanvallen via de distributie van geïnfecteerde PowerPoint-bestanden zijn een zeer onpopulaire keuze en vertegenwoordigen slechts 1% van de malware.

“Het gebruik van standaardsoftwarefuncties voor criminele doeleinden is een gebruikelijke tactiek voor aanvallers om detectie te voorkomen, net als het gebruik van ongebruikelijke bestandstypen die via e-mailgateways kunnen ‘lekken’ zonder te worden gedetecteerd. Beveiligingsafdelingen mogen niet alleen vertrouwen op inbraakdetectietechnologieën: het is belangrijk om nieuwe bedreigingen nauwlettend in de gaten te houden en hun verdediging dienovereenkomstig bij te werken. Dus, gezien de toename van de verspreiding van kwaadaardige .xll-bestanden die we vandaag zien, raden we netwerkbeheerders ten zeerste aan e-mailgateways te configureren om inkomende .xll-bijlagen te blokkeren, waarbij alleen uitzonderingen worden gemaakt voor invoegtoepassingen van vertrouwde partners, of Excel volledig uitschakelen add-ins, opmerkingen Alex Holland (Alex Holland), Senior Malware Analyst, Threat Research Group, HP Wolf Security, HP Inc. “Aanvallers vinden voortdurend nieuwe manieren om detectie te omzeilen. Daarom is het belangrijk dat ondernemingen hun beveiligingssystemen bouwen en aanpassen op basis van het dreigingslandschap en de zakelijke behoeften van hun gebruikers. Aanvallers maken tegenwoordig actief gebruik van aanvalsmethoden, zoals het onderscheppen van e-mail, waardoor het voor gebruikers nog moeilijker wordt om collega's en partners van criminelen te onderscheiden."

De bevindingen in dit rapport zijn gebaseerd op analyse van vele miljoenen eindapparaten waarop HP Wolf Security-software draait. Deze software van HP volgt malware door gedownloade bestanden te openen in geïsoleerde microvirtuele machines (micro-VM's) om de werking van de infectie te bestuderen. Door te begrijpen hoe malware zich in zijn natuurlijke omgeving gedraagt, kunnen onderzoekers en technici van HP Wolf Security de eindpuntbescherming verbeteren en de systeemstabiliteit verbeteren.

Met HP Wolf Security-software hebben klanten meer dan 10 miljard e-mailbijlagen, webpagina's en downloads kunnen openen zonder gerapporteerde lekken.

Andere belangrijke bevindingen uit het onderzoek zijn onder meer:

13% van de geïsoleerde kwaadaardige scripts die via e-mail werden verzonden, omzeilde ten minste één beveiligingsscanner voor de e-mailgateway.De aanvallers gebruikten 136 verschillende bestandsextensies in een poging bedrijfscomputers te infecteren.

77% van de gedetecteerde malware werd geleverd via e-mail, en slechts 13% ervan werd gedownload van internet.

De meest voorkomende bijlagen die werden gebruikt om malware te leveren, waren documenten (29%), archieven (28%), .exe-bestanden (21%) en spreadsheets (20%).

De meest voorkomende phishing lokken waren e-mails met betrekking tot het nieuwe jaar of zakelijke transacties, zoals onderwerpen als "Bestelling", "2021/2022", "Betaling", "Aankoop", "Aanvraag" en "Factuur".

“Tegenwoordig kunnen aanvallers op laag niveau geheime aanvallen uitvoeren en hun toegang verkopen aan georganiseerde groepen cybercriminelen die ransomware gebruiken bij hun activiteiten. Als gevolg hiervan leidt dit tot grootschalige aanvallen die IT-systemen kunnen neerhalen en de hele organisatie tot stilstand kunnen brengen”, zegt Dr. Ian Pratt, Global Head of Personal Systems Security, HP Inc. – Organisaties moeten zich richten op het verkleinen van het aanvalsoppervlak en ervoor zorgen dat hun systemen snel kunnen herstellen als ze worden gecompromitteerd. Dit betekent het volgen van de principes van Zero Trust en het introduceren van sterke identiteitssystemen, het verlenen van minimale privileges aan gebruikers en het isoleren van apparaten vanaf het hardwareniveau.”

Gegevens voor het onderzoek werden verzameld door HP Wolf Security-specialisten van virtuele machines van klanten van oktober tot december 2021.

bbabo.Net