Key takeaways
- Angripare bakom skadlig programvara som stjäl lösenord använder innovativa metoder för att få människor att öppna skadliga e-postmeddelanden.
- Angriparna använder en kontakts hackade inkorg för att infoga bilagor med skadlig programvara i pågående e-postkonversationer.
-
Säkerhetsforskare föreslår att attacken understryker det faktum att människor inte ska blint öppna bilagor, inte ens de från kända kontakter.
Det kan verka konstigt när din vän hoppar in i en e-postkonversation med en bilaga som du halvt väntat dig, men att tvivla på meddelandets legitimitet kan rädda dig från farlig skadlig programvara.
Säkerhetsexperter på Zscaler har delat med sig av information om hotaktörer som använder nya metoder i ett försök att kringgå upptäckt, för att cirkulera ett potent lösenord som stjäl skadlig programvara som heter Qakbot. Cybersäkerhetsforskare är oroade över attacken men inte förvånade över att angripare förfinar sina tekniker.
"Cyberbrottslingar uppdaterar ständigt sina attacker för att försöka undvika upptäckt och i slutändan uppnå sina mål", sa Jack Chapman, VP of Threat Intelligence på Egress, till Lifewire via e-post. "Så även om vi inte vet specifikt vad de kommer att försöka härnäst, vet vi att det alltid kommer en nästa gång, och att attacker ständigt utvecklas."
Friendly Neighborhood Hacker
I sitt inlägg går Zscaler igenom de olika förvirringstekniker som angriparna använder för att få offren att öppna sin e-post.
Detta inkluderar att använda lockande filnamn med vanliga format, som. ZIP, för att lura offren att ladda ner de skadliga bilagorna.
Att förvirra skadlig programvara har varit en populär taktik i många år nu, delade Chapman och sa att de har sett attacker dolda i många olika filtyper, inklusive PDF-filer och alla Microsoft Office-dokumenttyper.
"Sofistikerade cyberattacker är konstruerade för att ha bästa möjliga chans att nå sina mål", sa Chapman.
Intressant nog noterar Zscaler att de skadliga bilagorna infogas som svar i aktiva e-posttrådar. Återigen är Chapman inte förvånad över den sofistikerade sociala ingenjörskonsten som spelas i dessa attacker. "När attacken har nått målet behöver cyberbrottslingen att de vidtar åtgärder - i det här fallet för att öppna e-postbilagan", delade Chapman.
Keegan Keplinger, forsknings- och rapporteringsledare på eSentire, som upptäckte och blockerade ett dussin Qakbot-kampanjincidenter bara i juni, pekade också på användningen av inkorgar för komprometterade e-post som en höjdpunkt i attacken.
"Qakbots tillvägagångssätt kringgår kontroller av mänskligt förtroende, och användare är mer benägna att ladda ner och köra nyttolasten, och tror att den är från en pålitlig källa", sa Keplinger till Lifewire via e-post.
Adrien Gendre, Chief Tech and Product Officer på Vade Secure, påpekade att denna teknik också användes i 2021 års Emotet-attacker.
"Användare tränas vanligtvis i att leta efter falska e-postadresser, men i ett fall som detta skulle det inte vara till hjälp att inspektera avsändarens adress eftersom det är en legitim, om än komprometterad, adress", sa Gendre till Lifewire i en e-postdiskussion.
Curiosity Killed the Cat
Chapman säger att förutom att dra nytta av den redan existerande relationen och det förtroende som byggts upp mellan de inblandade, leder angriparnas användning av vanliga filtyper och tillägg till att mottagarna blir mindre misstänksamma och mer benägna att öppna dessa bilagor.
Paul Baird, Chief Technical Security Officer UK på Qualys, noterar att även om tekniken borde blockera dessa typer av attacker, kommer vissa alltid att glida igenom. Han menar att det enda sättet att stävja spridningen är att hålla människor medvetna om aktuella hot på ett språk de förstår.
"Användare bör akta sig, och utbildas, att även en pålitlig e-postadress kan vara skadlig om den äventyras", instämde Gendre. "Detta gäller särskilt när ett e-postmeddelande innehåller en länk eller en bilaga."
Gendre föreslår att folk bör läsa sina e-postmeddelanden noggrant för att säkerställa att avsändare är de de utger sig för att vara. Han påpekar att e-postmeddelanden som skickas från komprometterade konton ofta är korta och raka med mycket trubbiga förfrågningar, vilket är en bra anledning att flagga e-postmeddelandet som misstänkt.
Baird påpekar att e-postmeddelanden som skickas av Qakbot norm alt kommer att skrivas annorlunda jämfört med de konversationer du vanligtvis har med dina kontakter, vilket borde fungera som ytterligare ett varningstecken. Innan du interagerar med bilagor i ett misstänkt e-postmeddelande, föreslår Baird att du ansluter till kontakten med en separat kanal för att verifiera meddelandets äkthet.
"Om du får något e-postmeddelande [med] filer [du] inte förväntar dig, titta inte på dem", är Bairds enkla råd. "Frasen "Curiosity killed the cat" gäller för allt du får via e-post."
