Toename van schadelijke PDF-campagnes en Office-exploits

Het HP Wolf Security bedreigingsonderzoeksteam ontdekte verschillende opmerkelijke campagnes, waaronder:

• De DarkGate campagne gebruikt Ad-tools om aanvallen aan te scherpen: Schadelijke PDF-bijlagen, die zich voordoen als OneDrive-foutberichten, leiden gebruikers naar gesponsorde content die wordt gehost op een populair advertentienetwerk. Dit leidt tot DarkGate-malware.

• Door advertentieservices te gebruiken, kunnen kwaadwillenden analyseren welke lokmiddelen klikken genereren en de meeste gebruikers infecteren, waardoor ze campagnes kunnen verfijnen voor maximale impact.
• Threat actors kunnen CAPTCHA-tools gebruiken om te voorkomen dat sandboxes malware scannen en aanvallen stoppen door ervoor te zorgen dat alleen mensen klikken.
• DarkGate geeft cybercriminelen achterdeurtoegang tot netwerken, waardoor slachtoffers worden blootgesteld aan risico's zoals gegevensdiefstal en ransomware.

• Een verschuiving van macro's naar Office-exploits: In het vierde kwartaal probeerde ten minste 84% van de pogingen tot inbraak in spreadsheets en 73% in Word-documenten kwetsbaarheden in Office-toepassingen te misbruiken. Aanvallen die gebruikmaken van macro's hebben echter nog steeds hun plaats, met name aanvallen die gebruikmaken van goedkope malware zoals Agent Tesla en XWorm.
• PDF-malware neemt toe: 11% van de in het vierde kwartaal geanalyseerde malware gebruikte PDF's om malware af te leveren, vergeleken met slechts 4% in het eerste en tweede kwartaal van 2023. Een opmerkelijk voorbeeld was een WikiLoader-campagne die gebruikmaakte van een valse PDF voor pakketbezorging om gebruikers te verleiden tot het installeren van Ursnif-malware.
• Discord en TextBin worden gebruikt om schadelijke bestanden te hosten: Kwaadwillenden gebruiken legitieme websites voor het delen van bestanden en tekst om schadelijke bestanden te hosten. Deze sites worden vaak vertrouwd door organisaties, waardoor ze anti-malware scanners omzeilen en aanvallers meer kans hebben om onopgemerkt te blijven.

Pelle Aardewerk, Cyber Security Consultancy Lead EMEA bij HP, licht toe:

"Cybercriminelen passen dezelfde tools toe die een bedrijf zou gebruiken om een marketingcampagne te beheren om hun malwarecampagnes te optimaliseren, waardoor de kans groter wordt dat de gebruiker in het lokaas trapt. Om zich te beschermen tegen goed uitgeruste threat actors, moeten organisaties zero trust-principes volgen, waarbij risicovolle activiteiten zoals het openen van e-mailbijlagen, het klikken op links en het downloaden in de browser worden geïsoleerd en ingeperkt."

Alex Holland, Senior Malware Analyst in het HP Wolf Security threat research team, licht verder toe:

"Cybercriminelen worden steeds bedrevener in het in ons hoofd kruipen en begrijpen hoe we denken te werken. Het ontwerp van populaire cloudservices wordt bijvoorbeeld steeds verder verfijnd, dus als er een valse foutmelding verschijnt, zal deze niet per se alarm slaan, zelfs als een gebruiker deze nog niet eerder heeft gezien. Nu GenAI nog meer overtuigende schadelijke inhoud genereert tegen weinig tot geen kosten, zal het alleen maar moeilijker worden om echt van nep te onderscheiden."

Door het isoleren van bedreigingen die detectietools op pc's omzeilen - maar malware toch veilig detoneren - heeft HP Wolf Security specifiek inzicht in de nieuwste technieken die cybercriminelen gebruiken in het snel veranderende cybercrime-landschap. Tot nu toe hebben klanten van HP Wolf Security geklikt op meer dan 40 miljard e-mailbijlagen, webpagina's en gedownloade bestanden zonder dat er overtredingen zijn gemeld.

Het rapport beschrijft hoe cybercriminelen hun aanvalsmethoden blijven aanpassen om beveiligingsbeleid en detectietools te omzeilen. Andere bevindingen zijn onder andere:

• Archieven waren het populairste type malware voor het zevende achtereenvolgende kwartaal, gebruikt in 30% van de door HP geanalyseerde malware.
• Ten minste 14% van de e-mailbedreigingen die door HP Sure Click werden geïdentificeerd, omzeilden een of meer e-mailgatewayscanners.
• De belangrijkste bedreigingsvectoren in Q4 waren e-mail (75%), downloads van browsers (13%) en andere middelen zoals USB-stations (12%).

HP Wolf Security voert risicovolle taken uit in geïsoleerde, met hardware versterkte virtuele machines die op de endpoint draaien om gebruikers te beschermen, zonder hun productiviteit te beïnvloeden. Het legt ook gedetailleerde sporen van besmettingspogingen vast. HP's technologie voor applicatie-isolatie beperkt bedreigingen die langs andere beveiligingstools kunnen glippen en biedt unieke inzichten in inbraaktechnieken en het gedrag van threat actors.