Aanvallers blijven zichzelf heruitvinden, concludeert HP in een onderzoeksrapport. Malwarecampagnes worden omgeleid naar legitieme advertentieplatformen om te meten hoe vaak er op schadelijke links geklikt wordt.
HP deelt iedere drie maanden een analyse van gegevens uit zijn Wolf Security-software voor zakelijke laptops. In het meest recente rapport komen enkele opvallende trends bovendrijven. Hackers gaan tegenwoordig zoals professionele marketeers te werk en maken gebruik van advertentie-analytics om te meten welke trucs wel werken en welke niet.
Meten per klik
Hiervoor maken ze gebruik van ‘Darkgate’-malware, die de laatste tijd frequent opduikt in Microsoft Office-applicaties, zoals Microsoft Teams. DarkGate geeft cybercriminelen achterdeurtoegang tot netwerken. Een aanvalspatroon dat HP veel ziet, is dat de malware verstopt wordt achter OneDrive-foutmeldingen. Die zijn er realistisch uit, waardoor onoplettende gebruikers in de val gelokt worden om op een downloadlink te klikken.
Klinkt als een doorsnee cyberaanval, maar dat is het niet. Slachtoffers worden eerst nog omgeleid naar naar gesponsorde content die wordt gehost op een populair advertentienetwerk. Door advertentieservices te gebruiken, kunnen kwaadwillenden analyseren welke lokmiddelen klikken genereren en de meeste gebruikers infecteren, waardoor ze campagnes kunnen verfijnen voor maximale impact. Net zoals marketingbureaus analytics gebruiken om het succes van mailcampagnes te meten.
Pelle Aardewerk, Cyber Security Consultancy Lead EMEA bij HP, licht toe: “Cybercriminelen passen dezelfde tools toe die een bedrijf zou gebruiken om een marketingcampagne te beheren om hun malwarecampagnes te optimaliseren, waardoor de kans groter wordt dat de gebruiker in het lokaas trapt. Om zich te beschermen tegen goed uitgeruste threat actors, moeten organisaties zero trust-principes volgen, waarbij risicovolle activiteiten zoals het openen van e-mailbijlagen, het klikken op links en het downloaden in de browser worden geïsoleerd en ingeperkt.”
Macro’s zijn nog niet versleten
Het is lang niet de enige opmerkelijke trend die HP beschrijft in het rapport. Sinds Microsoft Office-macro’s aan banden heeft gelegd, komen ze steeds minder voor, maar er zijn nog steeds campagnes die van deze oude klassieker gebruik maken. Toch zijn het vooral Office-exploits en PDF’s die als een interessante toegang worden gezien door aanvallers. Elf procent van de geanalyseerde malware zat verscholen achter een PDF-bestand.
Tenslotte zijn aanvallers steeds beter in het ontwijken van detectiemiddelen. Ten minste 14 procent van de e-mailbedreigingen omzeilden een of meer e-mailgatewayscanners. Ook CAPTCHA’s zijn een populaire vermomming om malware te verstoppen voor sandboxes. Kwaadwillenden gebruiken ook legitieme websites voor het delen van bestanden (zoals Discord) en tekst om schadelijke bestanden te hosten. Deze sites worden vaak vertrouwd door organisaties, waardoor ze anti-malware scanners omzeilen en aanvallers meer kans hebben om onopgemerkt te blijven.