Kibernetski kriminalci preizkušajo novo metodo za zagotovitev uspeha napadov lažnega predstavljanja – tukaj je, na kaj morate biti pozorni.
Kibernetski kriminalci uporabljajo edinstveno izdelane lažna e-poštna sporočila da okužijo žrtve z zlonamerno programsko opremo -- in to počnejo tako, da eksperimentirajo z novo metodo dostave zlonamernega tovora.
Po navedbah analizo s strani Proofpointa, se je povečalo število kibernetskih napadalcev, ki poskušajo doseči zlonamerna programska oprema z uporabo dokumentov OneNote, digitalnega zvezka, označenega z razširitvami .one, ki je del Paket pisarniških aplikacij Microsoft 365.
Poglobljeno:Ti strokovnjaki tekmujejo, da bi zaščitili AI pred hekerji. Čas se izteka
Raziskovalci kibernetske varnosti ugotavljajo, da je neobičajno, da se dokumenti OneNote zlorabljajo na ta način, in obstaja ena preprosta razlog, zakaj napadalci eksperimentirajo z njimi -- ker lahko lažje obidejo zaznavanje groženj kot drugi priloge. In zdi se, da deluje.
"Na podlagi podatkov v odprtokodnih skladiščih zlonamerne programske opreme več prvotno opaženih prilog ni zaznalo kot zlonamernih protivirusnih mehanizmov, zato je verjetno, da so začetne kampanje imele visoko stopnjo učinkovitosti, če e-pošta ni bila blokirana,« je povedal Proofpoint. ZDNET.
Varnost
- 8 navad zelo varnih delavcev na daljavo
- Kako najti in odstraniti vohunsko programsko opremo iz telefona
- Najboljše storitve VPN: Kakšna je primerjava najboljših 5?
- Kako ugotoviti, ali ste vpleteni v kršitev podatkov – in kaj storiti naprej
"Od Microsoft je začel blokirati makre akterji groženj so privzeto leta 2022 eksperimentirali s številnimi novimi taktikami, tehnikami in postopki (TTP), vključno z uporabo prej redko opaženih vrst datotek, kot je navidezni trdi disk (VHD), prevedeni HTML (CHM) in zdaj OneNote (.one).«
The lažna e-poštna sporočila, ki so bili prvič poslani decembra 2022, januarja 2023 pa se je število znatno povečalo, poskušajo dostaviti eno od več različnih koristnih vsebin zlonamerne programske opreme, vključno z AsyncRAT, Rdeča črta, Agent Tesla, in Doubleback, ki so vse zasnovane za krajo občutljivih informacij žrtev, vključno z uporabniškimi imeni in gesli.
Raziskovalci Proofpointa tudi ugotavljajo, da je kibernetska kriminalna skupina, ki ji sledijo kot TA577, prav tako začela uporabljati OneNote v kampanjah za zagotavljanje Qbot. Namesto da bi ukradli podatke, da bi jih uporabili sami, TA577 deluje kot začetni posrednik dostopa, ki prodaja ukradena uporabniška imena in gesla drugim kibernetskim kriminalcem, vključno z izsiljevalskimi tolpami.
tudi: Kaj je lažno predstavljanje? Vse, kar morate vedeti za zaščito pred prevarantskimi e-poštnimi sporočili – in še hujšim
Doslej je bilo odkritih več kot 60 teh kampanj in vse imajo podobne značilnosti, z e-pošto in priponkami datotek povezanih s temami, vključno z računi, nakazili, pošiljanjem in sezonskimi temami, kot so informacije o božičnem bonusu, med drugi.
Lažno predstavljanje, poslano tarčam v proizvodnem in industrijskem sektorju, je na primer vključevalo prilogo imena, povezana s strojnimi deli in specifikacijami, kar kaže na visoko raven raziskav, ki so bile vložene v izdelavo vaba.
Druge kampanje OneNote so nekoliko bolj splošne in so poslane na tisoče potencialnih žrtev hkrati. Ena od teh kampanj je bila usmerjena v izobraževalni sektor z lažnimi računi, druga pa je bila bolj razširjena, saj je trdila, da ponuja božično darilo ali bonus na tisoče potencialnim žrtvam.
V vsakem primeru napad lažnega predstavljanja temelji na tem, da žrtev odpre e-pošto, odpre prilogo OneNote in klikne zlonamerne povezave. Medtem ko OneNote ponuja opozorilno sporočilo o sumljivih povezavah, uporabniki, ki so prejeli posebej oblikovano e-pošto, da se obrnejo neposredno na njih - ali mislijo, da bodo morda prejeli bonus - bi lahko poskusili to zaobiti Opozorilo.
Raziskovalci opozarjajo, da je verjetno, da bodo te kampanje zelo uspešne, če e-poštna sporočila niso blokirana – in da bo več skupin kibernetskih groženj verjetno sprejelo to tehniko za uspešno zagotavljanje lažnega predstavljanja in zlonamerne programske opreme akcije.
"Proofpoint je vse pogosteje opazil, da se priloge OneNote uporabljajo za dostavo zlonamerne programske opreme. Na podlagi naše raziskave verjamemo, da več akterjev groženj uporablja priloge OneNote, da bi zaobidejo zaznavanje groženj,« so povedali raziskovalci, ki opozarjajo, da je to »zaskrbljujoče«, ker, kot je razvidno iz TA577, ta taktika lahko postane začetna vstopna točka za distribucijo izsiljevalske programske opreme, kar bi lahko ohromilo celotno organizacijo in omrežje.
tudi: E-pošta je naše največje orodje za produktivnost. Zato je lažno predstavljanje tako nevarno za vse
Čeprav so napadi lažnega predstavljanja učinkovito orodje za kibernetske kriminalce, žrtev ni neizogibna. Proofpoint predlaga, da bi morale organizacije uporabiti robusten filter neželene pošte, ki preprečuje, da bi ta sporočila prispela v nabiralnike ljudi, in da bi morale organizacije poučiti končne uporabnike o tej tehniki, in spodbujajte uporabnike, da prijavijo sumljiva e-poštna sporočila in priloge.
"To je tehnika lažnega predstavljanja, ki žrtev prepriča, da odpre dokument z vdelano zlonamerno prilogo in nato zaobide varnostni poziv za zagon priloge. Stranke spodbujamo k vadite dobre računalniške navade na spletu, vključno s previdnostjo pri klikanju povezav do spletnih strani ali odpiranju neznanih datotek,« je za ZDNET povedal tiskovni predstavnik Microsofta.
VEČ O KIBERNETSKI VARNOSTI
-
Hekerji uporabljajo ta stari trik, da bi se izognili varnostni zaščiti
- Še vedno se ne moremo naučiti najpomembnejše lekcije o kibernetski varnosti. To se mora hitro spremeniti
- Te vrste datotek so tiste, ki jih hekerji najpogosteje uporabljajo za skrivanje svoje zlonamerne programske opreme
- Ta zahrbtna združba izsiljevalske programske opreme nenehno spreminja taktike širjenja svoje zlonamerne programske opreme