Amateuraanvallers vertrouwen cybercriminele marktplaatsen voor het verkrijgen van aanvalstools

Dit blijkt uit het driemaandelijkse HP Wolf Security Threat Insights Report. HP waarschuwt voor twee aanvalscampagne: Houdini's Last Act en een Parallax RAT-campagne. Houdini’s Last Act is een nieuwe campagne richtte zich op bedrijven met valse verzenddocumenten waarin de Vjw0rm JavaScript-malware werd verborgen. De verborgen code maakte het mogelijk voor de malware om de e-mailverdediging te omzeilen en de endpoints te bereiken. De geanalyseerde aanval leverde Houdini af, een 10 jaar oude VBScript RAT. Dit toont aan dat hackers, met de juiste voorgefabriceerde tools van cybercrime marktplaatsen, nog steeds oude malware effectief kunnen gebruiken door misbruik te maken van de ingebouwde scriptfuncties in besturingssystemen.

Cybercriminelen voeren daarnaast "Jekyll en Hyde"-aanvallen uit. HP ontdekte een Parallax RAT-campagne die twee threads start wanneer een gebruiker een kwaadaardige gescande factuur opent die ontworpen is om gebruikers te misleiden. De "Jekyll"-thread opent een nepfactuur gekopieerd van een legitiem online sjabloon, wat de argwaan vermindert, terwijl de "Hyde"-thread de malware op de achtergrond uitvoert. Deze aanval zou eenvoudig uit te voeren zijn door , aangezien voorgefabriceerde Parallax-kits voor 65 dollar per maand op hackersforums worden aangeboden.

'Malware 'meal kits' aanschaffen'

Alex Holland, Senior Malware Analist in het HP Wolf Security threat research team, merkt op: "Dreigingsactoren kunnen vandaag de dag eenvoudig voorgefabriceerde, gebruiksvriendelijke malware 'meal kits' aanschaffen, waarmee ze systemen met één klik kunnen infecteren. Ze hoeven geen eigen tools te ontwikkelen, waardoor cybercriminelen van laag niveau de kits kunnen gebruiken. Die kits maken gebruik van 'living-off-the-land'-tactieken. Deze heimelijke in-memory aanvallen zijn vaak moeilijker te detecteren vanwege beveiligingstool-uitsluitingen voor beheerdersgebruik, zoals automatisering."

HP heeft ook ontdekt dat aanvallers de aspirant-cybercriminelen 'ontgroenen' door nep-malware-bouwkits op code-deelplatforms zoals GitHub te hosten. Deze kwaadaardige code-repositories misleiden aspirant dreigingsactoren, en zorgt dat zij hun eigen computers infecteren. Een populaire malwarekit, XWorm, wordt op zwarte markten geadverteerd voor $500 USD, wat ertoe leidt dat cybercriminelen met beperkte middelen nep-gekraakte versies kopen.

Archiefbestanden populair voor verspreiding malware

Archiefbestanden waren het meest populaire type malware-distributie voor het zesde achtereenvolgende kwartaal en werd gebruikt in 36% van de gevallen die door HP zijn geanalyseerd. Ondanks dat ze standaard zijn uitgeschakeld, zijn macro-ingeschakelde Excel-add-in-bedreigingen (.xlam) gestegen naar de 7e meest populaire bestandsextensie die in Q3 door aanvallers werd misbruikt, vergeleken met de 46e plaats in het tweede kwartaal. In Q3 werden ook malware-campagnes waargenomen die PowerPoint-add-ins misbruikten.

In zowel Q3 als Q2 omzeilde minstens 12% van de door HP Sure Click geïdentificeerde e-maildreigingen een of meer e-mailgateway-scanners. Q3 zag een toename in aanvallen met in Excel (91%) en Word (68%) indelingen. Er was een stijging van 5 procentpunten in door HP Wolf Security geïsoleerde PDF-dreigingen vergeleken met Q2. De belangrijkste dreigingsvectoren in Q3 waren e-mail (80%) en downloads van browsers (11%).

Hoogrisico-activiteiten isoleren

"Terwijl de tools voor het creëren van sluwe aanvallen gemakkelijk beschikbaar zijn, vertrouwen dreigingsactoren nog steeds op het klikken door de gebruiker" vervolgt Alex Holland. "Om het risico van voorgefabriceerde malwarekits te neutraliseren, zouden bedrijven hoogrisico-activiteiten moeten isoleren, zoals het openen van e-mailbijlagen, het klikken op links en het downloaden van bestanden. Dit vermindert het potentiële risico op een inbreuk aanzienlijk door het aanvalsoppervlak te verkleinen."

HP Wolf Security voert risicovolle taken uit in geïsoleerde, hardware-afgedwongen virtuele apparaten die op het endpoint worden uitgevoerd om gebruikers te beschermen zonder hun productiviteit te beïnvloeden. Het legt ook gedetailleerde sporen vast van pogingen tot infectie. HP's toepassingsisolatietechnologie vermindert dreigingen die andere beveiligingstools ontglippen en biedt inzichten in indringingstechnieken en het gedrag van dreigingsactoren.

Het HP Wolf Security Threat Insights Report is hier beschikbaar.