Ключевые выводы
- Злоумышленники, стоящие за вредоносной программой для кражи паролей, используют инновационные методы, чтобы заставить людей открывать вредоносные электронные письма.
- Атакующие используют взломанный почтовый ящик контакта, чтобы вставлять загруженные вредоносным ПО вложения в текущие переписки по электронной почте.
-
Исследователи безопасности предполагают, что атака подчеркивает тот факт, что люди не должны вслепую открывать вложения, даже от известных контактов.
Может показаться странным, когда ваш друг начинает переписку по электронной почте с вложением, которого вы наполовину ожидали, но сомнения в легитимности сообщения могут уберечь вас от опасного вредоносного ПО.
Сыщики безопасности в Zscaler поделились подробностями о злоумышленниках, использующих новые методы в попытке обойти обнаружение, чтобы распространить мощное вредоносное ПО для кражи паролей под названием Qakbot. Исследователи кибербезопасности встревожены атакой, но не удивлены тем, что злоумышленники совершенствуют свои методы.
«Киберпреступники постоянно совершенствуют свои атаки, пытаясь избежать обнаружения и, в конечном счете, достичь своих целей», - сказал Lifewire по электронной почте Джек Чепмен, вице-президент по анализу угроз в Egress. «Поэтому, даже если мы не знаем конкретно, что они попытаются сделать дальше, мы знаем, что всегда будет следующий раз, и что атаки постоянно развиваются».
Friendly Neighborhood Hacker
В своем посте Zscaler рассказывает о различных методах запутывания, которые злоумышленники используют, чтобы заставить жертв открыть свою электронную почту.
Это включает в себя использование заманчивых имен файлов в распространенных форматах, таких как. ZIP, чтобы заставить жертв загружать вредоносные вложения.
Обфускация вредоносного ПО уже много лет является популярной тактикой, поделился Чепмен, заявив, что они видели атаки, скрытые в различных типах файлов, включая PDF-файлы и все типы документов Microsoft Office.
«Изощренные кибератаки разрабатываются таким образом, чтобы иметь наилучшие шансы достичь своих целей», - сказал Чепмен.
Интересно, Zscaler отмечает, что вредоносные вложения вставляются как ответы в активных цепочках электронной почты. Опять же, Чепмен не удивлен изощренной социальной инженерией, используемой в этих атаках. «Как только атака достигла цели, киберпреступнику нужно, чтобы он предпринял какие-либо действия - в данном случае, чтобы открыть вложение электронной почты», - поделился Чепмен.
Киган Кеплингер, руководитель отдела исследований и отчетности в компании eSentire, которая только в июне обнаружила и заблокировала дюжину инцидентов кампании Qakbot, также указала на использование скомпрометированных почтовых ящиков в качестве одного из основных моментов атаки.
«Подход Qakbot обходит проверки доверия людей, и пользователи с большей вероятностью будут загружать и выполнять полезную нагрузку, думая, что она получена из надежного источника», - сказал Кеплингер Lifewire по электронной почте.
Адриен Джендре, директор по технологиям и продуктам Vade Secure, указал, что эта техника также использовалась в атаках Emotet в 2021 году.
«Пользователей обычно учат искать поддельные адреса электронной почты, но в таком случае проверка адреса отправителя бесполезна, потому что это законный, хотя и скомпрометированный адрес», - сказал Джендре в интервью Lifewire. обсуждение по электронной почте.
Любопытство сгубило кошку
Чепмен говорит, что помимо использования ранее существовавших отношений и доверия между вовлеченными людьми, использование злоумышленниками общих типов файлов и расширений приводит к тому, что получатели менее подозрительны и с большей вероятностью откроют эти вложения.
Пол Бэрд, директор по технической безопасности Qualys в Великобритании, отмечает, что, хотя технология должна блокировать атаки такого типа, некоторые из них всегда проскользнут. Он предполагает, что информирование людей о текущих угрозах на понятном им языке - единственный способ обуздать распространение.
«Пользователи должны остерегаться и быть обученными тому, что даже доверенный адрес электронной почты может быть вредоносным в случае компрометации», - согласился Жандр. «Это особенно верно, когда электронное письмо содержит ссылку или вложение».
Gendre предлагает людям внимательно читать свои электронные письма, чтобы убедиться, что отправители являются теми, за кого себя выдают. Он отмечает, что электронные письма, отправляемые со взломанных учетных записей, часто бывают короткими и содержат очень прямолинейные запросы, что является хорошей причиной для того, чтобы пометить электронное письмо как подозрительное.
Добавляя к этому, Бэрд отмечает, что электронные письма, отправленные Qakbot, обычно будут написаны иначе, чем разговоры, которые вы обычно ведете со своими контактами, что должно служить еще одним предупреждающим знаком. Прежде чем взаимодействовать с какими-либо вложениями в подозрительном электронном письме, Бэрд предлагает вам связаться с контактом, используя отдельный канал, чтобы проверить подлинность сообщения.
«Если вы получите электронное письмо [с] файлами, которые [вы] не ожидаете, не смотрите на них», - простой совет Бэрда. «Фраза «Любопытство сгубило кошку» применима ко всему, что вы получаете по электронной почте».
