WatchGuard waarschuwt voor explosieve groei in aanvallen op Cisco Webex Chrome-extensie

Corey Nachreiner

21-03-2019 | door: Wouter Hoeffnagel

WatchGuard waarschuwt voor explosieve groei in aanvallen op Cisco Webex Chrome-extensie

De Chrome-extensie van Cisco Webex bevat een kwetsbaarheid die actief door aanvallers wordt misbruikt. Cisco Webex is een tool voor audio-, video- en webvergaderen.

Dit blijkt uit het Internet Security Report (ISR) van WatchGuard Technologies over het vierde kwartaal van 2018. Het Internet Security Report beschrijft actuele malwarecampagnes, netwerkaanvallen en overige cyberbedreigingen voor middelgrote bedrijven en organisaties met meerdere vestigingen. Daarnaast reikt WatchGuard inzichten en best practices aan die organisaties helpen zichzelf, partners en klanten beter te beschermen. Het rapport is gebaseerd op data van tienduizenden actieve WatchGuard Firebox UTM-appliances, overal ter wereld.

Explosieve toename van aanvallen op Cisco Webex

Netwerkaanvallen op een kwetsbaarheid in de Chrome-extensie voor Cisco Webex kwamen in 2018 uit het niets. Aan het begin van dat jaar zag WatchGuard dergelijke aanvallen nog nauwelijks. In het vierde kwartaal was het echter de op een na populairste netwerkaanval.

Daarnaast merkt WatchGuard op dat phishingcampagnes in het vierde kwartaal een stuk verfijnder en daardoor ook gevaarlijker werden. Aanvallers zetten met geavanceerde methoden slachtoffers onder druk om gegevens prijs te geven of geld over te maken. Zo dreigen ze met het vrijgeven van opnames die van het slachtoffer zouden zijn gemaakt tijdens een bezoek aan websites met online content voor volwassenen.

Belangrijkste bevindingen

De belangrijkste bevindingen uit het rapport zijn:

  • Netwerkaanvallen gericht op een kwetsbaarheid in de Chrome-extensie voor Cisco Webex explodeerden in het vierde kwartaal van 2018. Deze kwetsbaarheid werd al in 2017 onthuld en gepatcht. Misbruik ervan bleef echter uit tot het vierde kwartaal van 2018. Vergeleken met een kwartaal eerder groeide het aantal gedetecteerde aanvallen op deze kwetsbaarheid met 7.016 procent. Deze piek laat volgens WatchGuard zien hoe belangrijk het is om direct beveiligingspatches te installeren zodra ze beschikbaar zijn.
  • Phishing met behulp van 'sextortion' is in opkomst. Een nieuwe sextortion-phishingaanval was de tweede meest voorkomende aanval die de malware-engines van WatchGuard in Q4 2018 detecteerden, en met name gericht op Asia-Pacific. In een bericht beweert de afzender over beelden te beschikken waarop is te zien dat het slachtoffer naar online porno kijkt. De afperser dreigt deze compromitterende beelden naar zijn of haar e-mailcontacten te sturen, tenzij het slachtoffer een geldbedrag overmaakt.
  • Cryptomining blijft een populaire aanvalsmethode. De meest voorkomende malwarevariant in Q4 kwam uit de populaire CoinHive-cryptominerfamilie. Twee van de tien meest voorkomende malwarevarianten die in Q4 werden gedetecteerd, waren cryptominers die we ook al in vorige kwartalen zagen.
  • Het aantal geavanceerde phishingaanvallen gericht op bankgegevens neemt toe. Een grote phishingaanval maakte gebruik van een e-mail met een link naar een valse, maar zeer realistisch ogende inlogpagina van de Amerikaanse bank Wells Fargo. Hier werden de bezoekers verleid om e-mailadressen en wachtwoorden achter te laten.
  • De standaarden waarop het internet is gebaseerd, blijven kwetsbaar. Een verfijnde aanval op deze kwetsbaarheden kan verstrekkende gevolgen hebben. Een toevallige kaping van het Border Gateway Protocol (BGP) maakte dit pijnlijk duidelijk. WatchGuard ontdekte dat een Nigeriaanse ISP genaamd MainOne een fout maakte in zijn routingfilters. Deze fout zorgde er onbedoeld voor dat veel van het verkeer van Google 74 minuten lang via Russische en Chinese ISP's werd geleid.
  • Netwerkaanvallen zitten na een historisch dieptepunt halverwege 2018 weer in de lift. Het aantal netwerkaanvallen steeg in Q4 met 46 procent. Het aantal unieke 'signature hits' nam in vergelijking met een kwartaal eerder toe met 167 procent. Ook in voorgaande jaren zag WatchGuard in het laatste kwartaal een toename van het aantal netwerkaanvallen.

Gelaagde beveiliging

"Dit kwartaal viel vooral de toename op van het aantal geavanceerde phishingaanvallen dat is gericht op hoogwaardige informatie", zegt Corey Nachreiner, CTO van WatchGuard Technologies. "Meer dan ooit is het voor bedrijven van vitaal belang om voor een gelaagde beveiliging te kiezen."

Bij die gelaagde beveiliging horen volgens Nachreiner oplossingen zoals DNSWatch van WatchGuard. "Een dergelijke oplossing detecteert en blokkeert potentieel gevaarlijke verbindingen en verwijst medewerkers automatisch door naar middelen die het bewustzijn en de preventie van phishing ondersteunen. Een combinatie van beveiligingscontroles en menselijke training helpt bedrijven te voorkomen dat ze door phishers aan de haak worden geslagen."

Analyse Exobot-broncode

Het Internet Security Report over Q4 bevat ook een analyse van de broncode voor de Exobot-bankingtrojan. Deze zeer geavanceerde malware probeert bancaire en financiële informatie te stelen van Android-apparaten. De analyse van het WatchGuard Threat Lab bevat een lijst met 150 sites die Exobot automatisch kan targeten, zoals Amazon, Facebook, Paypal en Western Union. Daarnaast geeft hij een gedetailleerde kijk op de gebruikersinterface die een aanvaller met behulp van Exobot kan gebruiken om commando's naar geïnfecteerde apparaten te sturen.

Het volledige rapport is hier beschikbaar. Met behulp van zijn Threat Landscape-datavisualisatietool geeft WatchGuard realtime inzicht in dreigingen per type, regio en datum.

Terug naar nieuws overzicht