Kulcs elvitelek
- A jelszólopó rosszindulatú programok mögött meghúzódó támadók innovatív módszereket alkalmaznak, hogy rávegyék az embereket a rosszindulatú e-mailek megnyitására.
- A támadók egy kapcsolattartó feltört postaládáját használják fel, hogy rosszindulatú programokkal teli mellékleteket helyezzenek be a folyamatban lévő e-mail beszélgetésekbe.
-
Biztonsági kutatók szerint a támadás rávilágít arra a tényre, hogy az embereknek nem szabad vakon megnyitniuk a mellékleteket, még azokat sem, amelyek ismert ismerősöktől származnak.
Furcsának tűnhet, amikor a barátja egy e-mailes beszélgetésbe ugrik be egy olyan melléklettel, amelyre félig számított, de az üzenet legitimitásának kétségei megóvhatják Önt a veszélyes rosszindulatú programoktól.
A Zscaler biztonsági nyomozói új módszereket használva osztottak meg részleteket a fenyegetés szereplőiről, hogy megpróbálják megkerülni az észlelést, és a Qakbot nevű, erős jelszólopó kártevőt terjeszteni. A kiberbiztonsági kutatókat aggasztja a támadás, de nem lepődnek meg azon, hogy a támadók finomítják a technikáikat.
"A kiberbűnözők folyamatosan frissítik támadásaikat, hogy elkerüljék a felderítést, és végül elérjék céljaikat" - mondta Jack Chapman, az Egress fenyegetések hírszerzési részlegének alelnöke a Lifewire-nek e-mailben. "Tehát még ha nem is tudjuk pontosan, hogy mit fognak legközelebb megpróbálni, tudjuk, hogy mindig lesz következő alkalom, és a támadások folyamatosan fejlődnek."
Friendly Neighborhood Hacker
Posztjában Zscaler végigfut a különféle zavaró technikákon, amelyeket a támadók alkalmaznak, hogy rávegyék az áldozatokat, hogy nyissa meg e-mailjeit.
Ebbe beletartozik a csábító fájlnevek általános formátumú, például. ZIP használata is, amellyel ráveszik az áldozatokat a rosszindulatú mellékletek letöltésére.
A rosszindulatú programok megzavarása már évek óta népszerű taktika – osztotta meg Chapman, és elmondta, hogy számos különböző fájltípusban, köztük PDF-ekben és minden Microsoft Office-dokumentumtípusban rejtettek támadásokat.
"A kifinomult kibertámadásokat úgy tervezték meg, hogy a lehető legjobb eséllyel érjék el céljukat" - mondta Chapman.
Érdekes módon a Zscaler megjegyzi, hogy a rosszindulatú mellékleteket válaszként szúrja be az aktív e-mail szálakba. Chapman ismét nem lepődik meg a kifinomult társadalmi tervezésen ezekben a támadásokban. "Amint a támadás elérte a célt, a kiberbűnözőnek cselekednie kell – ebben az esetben meg kell nyitnia az e-mail mellékletét" - osztotta meg Chapman.
Keegan Keplinger, az eSentire kutatási és jelentési vezetője, amely csak júniusban egy tucat Qakbot-kampány incidenst észlelt és blokkolt, szintén a feltört e-mail postafiókok használatára mutatott rá a támadás fénypontjaként.
"A Qakbot megközelítése megkerüli az emberi bizalom ellenőrzését, és a felhasználók nagyobb valószínűséggel töltik le és hajtják végre a hasznos terhet, azt gondolva, hogy megbízható forrásból származik" - mondta Keplinger a Lifewire-nek e-mailben.
Adrien Gendre, a Vade Secure műszaki és termékigazgató-helyettese rámutatott, hogy ezt a technikát a 2021-es Emotet-támadásoknál is használták.
"A felhasználókat általában arra tanítják, hogy hamisított e-mail-címeket keressenek, de ilyen esetekben a feladó címének ellenőrzése nem lenne hasznos, mert ez egy legitim, bár veszélyeztetett cím" - mondta Gendre a Lifewire-nek. e-mail beszélgetés.
A kíváncsiság megölte a macskát
Chapman azt mondja, hogy amellett, hogy kihasználják a már meglévő kapcsolatokat és az érintett személyek közötti bizalmat, a támadók gyakori fájltípusok és kiterjesztések használata azt eredményezi, hogy a címzettek kevésbé gyanakodnak, és nagyobb valószínűséggel nyitják meg ezeket a mellékleteket.
Paul Baird, a Qualys egyesült királyságbeli műszaki biztonsági igazgatója megjegyzi, hogy bár a technológiának meg kell akadályoznia az ilyen típusú támadásokat, némelyik mindig átcsúszik. Azt javasolja, hogy az egyetlen módja annak, hogy megfékezzük a terjedést, ha az embereket egy általuk értett nyelven tájékoztatjuk a jelenlegi fenyegetésekről.
"A felhasználóknak óvakodniuk kell, és ki kell képezniük őket, hogy még egy megbízható e-mail cím is lehet rosszindulatú, ha feltörik" - értett egyet Gendre. "Ez különösen igaz, ha egy e-mail linket vagy mellékletet tartalmaz."
Gendre azt javasolja, hogy az emberek figyelmesen olvassák el e-maileiket, hogy megbizonyosodjanak arról, hogy a feladók azok, akiknek vallják magukat. Rámutat arra, hogy a feltört fiókokból küldött e-mailek gyakran rövidek és lényegre törőek, és nagyon nyers kéréseket tartalmaznak, ami jó ok arra, hogy az e-mailt gyanúsként jelöljük meg.
Ezt kiegészítve Baird rámutat, hogy a Qakbot által küldött e-maileket általában másképp írják, mint az ismerőseivel folytatott beszélgetéseket, ami egy újabb figyelmeztető jelként szolgálhat. Mielőtt kapcsolatba lépne egy gyanús e-mail mellékleteivel, Baird azt javasolja, hogy csatlakozzon a kapcsolattartóhoz egy külön csatornán keresztül, hogy ellenőrizze az üzenet hitelességét.
"Ha olyan e-mailt kapsz, [amelyben] nem vártál fájlokat, akkor ne nézd meg" – ez Baird egyszerű tanácsa. "A "Kíváncsiság megölte a macskát" kifejezés mindenre vonatkozik, amit e-mailben kapsz."