Wouter Hoeffnagel - 18 februari 2024

HP Wolf Security: Aanvallers zetten analytics, CAPTCHA-tools en Office-exploits in

Aanvallers zetten innovatieve manieren in voor het beïnvloeden van gebruikers en infecteren van endpoints. Het onderzoeksteam van HP Wolf Security identificeert verschillende opmerkelijke campagnes, waarover het informatie deelt. Het gaat onder meer om de DarkGate-campagne, het gebruik van CAPTCHA-tools, de inzet van backdoors een verschuiving van macro's naar Office-exploits.

HP Wolf Security: Aanvallers zetten analytics, CAPTCHA-tools en Office-exploits in image

HP Wolf Security voert risicovolle taken uit in geïsoleerde, met hardware versterkte virtuele machines die op de endpoint draaien om gebruikers te beschermen, zonder hun productiviteit te beïnvloeden. Het legt ook gedetailleerde sporen van besmettingspogingen vast. De HP-technologie voor applicatie-isolatie beperkt bedreigingen die langs andere beveiligingstools kunnen glippen en biedt inzichten in inbraaktechnieken en het gedrag van threat actors.

Ad-tools gebruikt in DarkGate-campagne

De DarkGate campagne gebruikt Ad-tools om aanvallen aan te scherpen. Schadelijke PDF-bijlagen, die zich voordoen als OneDrive-foutberichten, leiden gebruikers naar gesponsorde content die wordt gehost op een populair advertentienetwerk.

Door advertentieservices te gebruiken, kunnen kwaadwillenden analyseren welke lokmiddelen klikken genereren en de meeste gebruikers infecteren, waardoor ze campagnes kunnen verfijnen voor maximale impact. Ook kunnen threat actors CAPTCHA-tools gebruiken om te voorkomen dat sandboxes malware scannen en aanvallen stoppen door ervoor te zorgen dat alleen mensen klikken. DarkGate geeft cybercriminelen achterdeurtoegang tot netwerken, waardoor slachtoffers worden blootgesteld aan risico's zoals gegevensdiefstal en ransomware.

Een verschuiving van macro's naar Office-exploits

In het vierde kwartaal probeerde ten minste 84% van de pogingen tot inbraak in spreadsheets en 73% in Word-documenten kwetsbaarheden in Office-toepassingen te misbruiken. Aanvallen die gebruikmaken van macro's hebben echter nog steeds hun plaats, met name aanvallen die gebruikmaken van goedkope malware zoals Agent Tesla en XWorm.

De hoeveelheid PDF-malware neemt toe. 11% van de in het vierde kwartaal geanalyseerde malware gebruikte PDF's om malware af te leveren, vergeleken met slechts 4% in het eerste en tweede kwartaal van 2023. Een opmerkelijk voorbeeld was een WikiLoader-campagne die gebruikmaakte van een valse PDF voor pakketbezorging om gebruikers te verleiden tot het installeren van Ursnif-malware.

Schadelijke bestanden hosten op Discord en TextBin

Kwaadwillenden gebruiken legitieme websites als Discord en TextBin voor het delen van bestanden en tekst om schadelijke bestanden te hosten. Deze sites worden vaak vertrouwd door organisaties, waardoor ze anti-malware scanners omzeilen en aanvallers meer kans hebben om onopgemerkt te blijven.

Pelle Aardewerk, Cyber Security Consultancy Lead EMEA bij HP: "Cybercriminelen passen dezelfde tools toe die een bedrijf zou gebruiken om een marketingcampagne te beheren om hun malwarecampagnes te optimaliseren, waardoor de kans groter wordt dat de gebruiker in het lokaas trapt. Om zich te beschermen tegen goed uitgeruste threat actors, moeten organisaties zero trust-principes volgen, waarbij risicovolle activiteiten zoals het openen van e-mailbijlagen, het klikken op links en het downloaden in de browser worden geïsoleerd en ingeperkt."

Alex Holland, Senior Malware Analyst in het HP Wolf Security threat research team: "Cybercriminelen worden steeds bedrevener in het in ons hoofd kruipen en begrijpen hoe we denken te werken. Het ontwerp van populaire cloudservices wordt bijvoorbeeld steeds verder verfijnd, dus als er een valse foutmelding verschijnt, zal deze niet per se alarm slaan, zelfs als een gebruiker deze nog niet eerder heeft gezien. Nu GenAI nog meer overtuigende schadelijke inhoud genereert tegen weinig tot geen kosten, zal het alleen maar moeilijker worden om echt van nep te onderscheiden."

Door het isoleren van bedreigingen die detectietools op pc's omzeilen - maar malware toch veilig detoneren - heeft HP Wolf Security specifiek inzicht in de nieuwste technieken die cybercriminelen gebruiken in het snel veranderende cybercrime-landschap. HP Wolf Security meldt dat haar klanten op meer dan 40 miljard e-mailbijlagen, webpagina's en gedownloade bestanden hebben geklikt, zonder dat er overtredingen zijn gemeld.

Cybercriminelen passen aanvalsmethoden aan

Het rapport beschrijft hoe cybercriminelen hun aanvalsmethoden blijven aanpassen om beveiligingsbeleid en detectietools te omzeilen. Andere bevindingen zijn onder andere:

  • Archieven waren het populairste type malware voor het zevende achtereenvolgende kwartaal, gebruikt in 30% van de door HP geanalyseerde malware.
  • Ten minste 14% van de e-mailbedreigingen die door HP Sure Click werden geïdentificeerd, omzeilden een of meer e-mailgatewayscanners.
  • De belangrijkste bedreigingsvectoren in Q4 waren e-mail (75%), downloads van browsers (13%) en andere middelen zoals USB-stations (12%).

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!