Steeds meer malware via snelkoppelingen verspreid
De hoeveelheid malware in archiefbestanden zoals snelkoppelingen, is in het afgelopen tweede kwartaal met 11 procent gestegen ten opzichte van het eerste kwartaal van 2022. Een groot deel van de cybercriminelen die malwarefamilies verspreiden - waaronder QakBot, IceID, Emotet en RedLine Stealer - stappen over naar snelkoppelingen (LNK-bestanden) om malware te verspreiden. Dat staat in het het HP Wolf Security Threat Insights Report.
Snelkoppelingen vervangen steeds vaker macro's van Office - die standaard worden geblokkeerd in Office - als een manier voor aanvallers om voet aan de grond te krijgen in netwerken. Zo verleiden cybecriminelen gebruikers ertoe hun pc's te infecteren met malware. Deze toegang kan vervolgens worden gebruikt om waardevolle bedrijfsgegevens te stelen en/of door te verkopen aan ransomware-groepen. Dat kan leiden tot grootschalige inbreuken die bedrijfsactiviteiten kunnen stilleggen en resulteren in aanzienlijke herstelkosten.
Het rapport stelt verder dat cybercriminelen vaak snelkoppelingsbestanden in ZIP e-mailbijlagen plaatsen om zo e-mailscanners te ontwijken. Het HP Wolf Security threat researchteam zag ook dat LNK-malwarebouwers te koop waren op hackerforums, wat het voor cybercriminelen makkelijk maakt om over te schakelen op deze 'macrovrije' code-uitvoeringstechniek.
Groot risico
"Het openen van een snelkoppeling of HTML-bestand lijkt misschien onschadelijk voor een werknemer, maar dit kan leiden tot een groot risico voor de onderneming", licht Alex Holland toe, Senior Malware Analyst van het HP Wolf Security threat researchteam. "We raden aan om snelkoppelingsbestanden die als e-mailbijlagen zijn ontvangen of van het web gedownload zijn onmiddellijk te blokkeren.”
HP heeft verschillende phishingcampagnes geïdentificeerd, bestaande uit e-mails die zich voordeden als regionale postdiensten of - zoals HP voorspelde - grote evenementen zoals Doha Expo 2023 (waar wereldwijd meer dan 3 miljoen bezoekers op afkomen). Hierbij werd HTML-smokkel gebruikt om malware af te leveren. Met deze techniek kunnen gevaarlijke bestandstypen organisaties worden binnengesmokkeld en tot malware-infecties leiden, die anders door e-mailgateways zouden worden geblokkeerd.
Meerdere cybercriminelen hebben het recent bekend gemaakte 'zero-day'-lek in het Microsoft Support Diagnostic Tool (MSDT) 'Follina' genaamd - gebruikt om QakBot, Agent Tesla en de Remcos RAT (Remote Access Trojan) te verspreiden voordat er een patch beschikbaar was. De kwetsbaarheid is volgens HP bijzonder gevaarlijk omdat aanvallers er arbitraire codes mee kunnen uitvoeren om malware te implementeren. Er is weinig interactie van de gebruiker nodig om de kwetsbaarheid uit te buiten op het door de aanvallers voorziene device.
Nieuwe malwarefamilie
HP heeft ook een phishingcampagne ontdekt die een nieuwe malwarefamilie genaamd SVCReady verspreidt. Deze familie valt op door de ongebruikelijke manier waarop de malware op doelcomputers wordt afgeleverd - via shellcode die in de eigenschappen van Office-documenten is verborgen. De malware is vooral ontworpen om secundaire malware payloads te downloaden naar geïnfecteerde computers nadat er systeeminformatie en schermafbeeldingen zijn verzameld. Hij bevindt zich nog in een vroeg ontwikkelingsstadium en is de afgelopen maanden verschillende keren geupdated.
Andere bevindingen in het rapport zijn:
- 14 procent van de e-mailmalware die door HP Wolf Security werd vastgelegd, omzeilde ten minste één e-mailgatewayscanner.
- Bedreigingsactoren gebruikten 593 verschillende malwarefamilies in hun pogingen om organisaties te infecteren, vergeleken met 545 in het voorgaande kwartaal.
- Spreadsheets bleven het belangrijkste kwaadaardige bestandstype, maar het bedreigingsonderzoeksteam zag een stijging van 11 procent in archiefbedreigingen. Dit suggereert dat aanvallers steeds vaker bestanden in archiefbestanden plaatsen voordat ze worden verzonden om detectie te omzeilen.
- 69 procent van de gedetecteerde malware werd geleverd via e-mail, terwijl web downloads verantwoordelijk waren voor 17 procent.
- De meest voorkomende phishing-lokkers waren zakelijke transacties zoals 'Bestelling', 'Betaling', 'Aankoop', 'Verzoek' en 'Factuur'.
Lees hier het hele rapport.