Clau per emportar
- Els atacants darrere d'un programari maliciós que roba contrasenyes estan utilitzant mètodes innovadors per aconseguir que la gent obri correus electrònics maliciosos.
- Els atacants utilitzen la safata d'entrada piratejada d'un contacte per inserir els fitxers adjunts carregats de programari maliciós a les converses de correu electrònic en curs.
-
Els investigadors de seguretat suggereixen que l'atac subratlla el fet que les persones no haurien d'obrir a cegues els fitxers adjunts, fins i tot els de contactes coneguts.
Pot semblar estrany quan el teu amic entra a una conversa de correu electrònic amb un fitxer adjunt que estàveu mig esperant, però dubtar de la legitimitat del missatge podria estalviar-vos d'un programari maliciós perillós.
Els detectius de seguretat de Zscaler han compartit detalls sobre els actors d'amenaça que utilitzen mètodes nous per intentar evitar la detecció, per fer circular un potent programari maliciós per robar contrasenyes anomenat Qakbot. Els investigadors de ciberseguretat estan alarmats per l'atac, però no els sorprèn que els atacants perfeccionin les seves tècniques.
"Els cibercriminals actualitzen constantment els seus atacs per intentar evitar la detecció i, en última instància, aconseguir els seus objectius", va dir Jack Chapman, vicepresident d'Intel·ligència d'amenaces a Egress, a Lifewire per correu electrònic. "Per tant, encara que no sabem específicament què intentaran després, sabem que sempre hi haurà una propera vegada i que els atacs estan en constant evolució."
Hacker amigable del barri
A la seva publicació, Zscaler repassa les diferents tècniques d'ofuscament que utilitzen els atacants per aconseguir que les víctimes obrin el seu correu electrònic.
Això inclou l'ús de noms de fitxer atractius amb formats habituals, com ara. ZIP, per enganyar les víctimes perquè baixin els fitxers adjunts maliciosos.
Ofuscar programari maliciós ha estat una tàctica popular des de fa molts anys, ha compartit Chapman, dient que han vist atacs amagats en nombrosos tipus de fitxers diferents, inclosos els PDF i tots els tipus de documents de Microsoft Office.
"Els ciberatacs sofisticats estan dissenyats per tenir les millors possibilitats possibles d'assolir els seus objectius", va dir Chapman.
Curiosament, Zscaler assenyala que els fitxers adjunts maliciosos s'insereixen com a respostes als fils de correu electrònic actius. Un cop més, Chapman no està sorprès per la sofisticada enginyeria social en joc en aquests atacs. "Una vegada que l'atac ha arribat a l'objectiu, el cibercriminal necessita que actuïn, en aquest cas, per obrir el fitxer adjunt del correu electrònic", va compartir Chapman.
Keegan Keplinger, cap d'investigació i informes d'eSentire, que només al juny va detectar i bloquejar una dotzena d'incidents de campanya de Qakbot, també va assenyalar l'ús de bústies d'entrada de correu electrònic compromeses com a punt més destacat de l'atac.
"L'enfocament de Qakbot passa per alt les comprovacions de confiança humana, i és més probable que els usuaris baixin i executin la càrrega útil, pensant que prové d'una font de confiança", va dir Keplinger a Lifewire per correu electrònic.
Adrien Gendre, director tècnic i de producte de Vade Secure, va assenyalar que aquesta tècnica també es va utilitzar en els atacs d'Emotet del 2021.
"Els usuaris solen estar entrenats per buscar adreces de correu electrònic falsificades, però en un cas com aquest, inspeccionar l'adreça del remitent no seria útil perquè és una adreça legítima, encara que compromesa", va dir Gendre a Lifewire en un missatge. debat per correu electrònic.
La curiositat va matar el gat
Chapman diu que, a més d'aprofitar la relació i la confiança preexistents entre les persones implicades, l'ús dels atacants de tipus i extensions de fitxers habituals fa que els destinataris siguin menys sospitosos i més propensos a obrir aquests fitxers adjunts.
Paul Baird, director tècnic de seguretat del Regne Unit de Qualys, assenyala que, tot i que la tecnologia hauria de bloquejar aquest tipus d'atacs, alguns sempre s'escaparan. Suggereix que mantenir la gent al corrent de les amenaces actuals en un idioma que entenguin és l'única manera de frenar la propagació.
"Els usuaris haurien de tenir cura i estar entrenats que fins i tot una adreça de correu electrònic de confiança pot ser maliciosa si es veu compromesa", va acordar Gendre. "Això és especialment cert quan un correu electrònic inclou un enllaç o un fitxer adjunt."
Gendre suggereix que les persones han de llegir atentament els seus correus electrònics per assegurar-se que els remitents són qui diuen ser. Assenyala que els correus electrònics enviats des de comptes compromesos solen ser curts i fins al punt amb sol·licituds molt contundents, la qual cosa és una bona raó per marcar el correu electrònic com a sospitós.
A més d'això, Baird assenyala que els correus electrònics enviats per Qakbot normalment s'escriuran de manera diferent en comparació amb les converses que tens habitualment amb els teus contactes, que haurien de servir com un altre senyal d'advertència. Abans d'interaccionar amb els fitxers adjunts d'un correu electrònic sospitós, Baird suggereix que us connecteu amb el contacte mitjançant un canal independent per verificar l'autenticitat del missatge.
"Si rebeu algun correu electrònic [amb] fitxers [que] no espereu, no els mireu", és el senzill consell de Baird. "La frase "La curiositat va matar el gat" s'aplica a qualsevol cosa que rebeu per correu electrònic."
