Waarchuwing voor 'onzichtbare' malware via vertrouwde Windows software

De aanval draaide niet als een verdacht, opzichzelfstaand proces. In plaats daarvan nestelde de kwaadaardige software zich in gesigneerde Windows-onderdelen en bekende applicaties zoals Google Updater. Dit fenomeen staat in de cybersecurity-wereld bekend als LOLBIN-abuse (Living-off-the-Land Binaries).

LOLBIN-abuse: de gevaarlijke illusie van veiligheid

LOLBIN-abuse is een techniek waarbij aanvallers legitieme, op een systeem aanwezige tools en bestanden (binaries) misbruiken om hun kwaadaardige activiteiten uit te voeren. Door zich te verschuilen in processen die gebruikers en beveiligingssoftware al vertrouwen, kunnen aanvallers vrijwel onzichtbaar blijven.

Westhovens waarschuwt dat het gevaar van deze methode immens is: "Omdat alles ogenschijnlijk via betrouwbare processen verloopt, schiet traditionele antivirus tekort en krijgen aanvallers de kans om wekenlang ongemerkt actief te blijven."

Volgens de expert is deze tactiek een duidelijk teken dat de focus van cybercriminelen verschuift. De grootste risico's komen niet langer van onbekende of overduidelijk verdachte bestanden, maar "juist van wat we al vertrouwen."

Oplossing ligt in gedragsanalyse

De ontdekking van de aanval toont de tekortkomingen van beveiligingsstrategieën die zich louter richten op het herkennen van bekende malware-signaturen. Westhovens benadrukt dat het opsporen van dergelijke geavanceerde dreigingen alleen mogelijk is door middel van gedragsanalyse en contextuele monitoring.

Dit soort methoden kijkt niet alleen naar wat een bestand is, maar naar wat het proces doet en of dit gedrag afwijkt van de norm, zelfs als het afkomstig is van een ogenschijnlijk betrouwbare bron.

De oproep van Westhovens aan IT-beveiligingsteams is duidelijk: de verdediging moet evolueren van een puur bestand-gebaseerde aanpak naar een strategie die zich richt op de dynamiek van processen en afwijkend gedrag binnen de vertrouwde infrastructuur.

Lees hier het hele rapport.