Mga Key Takeaway
- Ang mga umaatake sa likod ng malware na pagnanakaw ng password ay gumagamit ng mga makabagong pamamaraan para mahikayat ang mga tao na magbukas ng mga nakakahamak na email.
- Gumagamit ang mga umaatake ng na-hack na inbox ng isang contact para ipasok ang mga attachment na puno ng malware sa mga kasalukuyang pag-uusap sa email.
-
Iminumungkahi ng mga mananaliksik sa seguridad na binibigyang-diin ng pag-atake ang katotohanang hindi dapat bulag na buksan ng mga tao ang mga attachment, kahit na ang mga mula sa mga kilalang contact.
Maaaring mukhang kakaiba kapag ang iyong kaibigan ay sumali sa isang pag-uusap sa email na may kasamang attachment na kalahating inaasahan mo, ngunit ang pagdududa sa pagiging lehitimo ng mensahe ay maaaring magligtas sa iyo mula sa mapanganib na malware.
Ang mga security sleuth sa Zscaler ay nagbahagi ng mga detalye tungkol sa mga aktor ng pagbabanta na gumagamit ng mga bagong pamamaraan sa pagtatangkang umiwas sa pagtuklas, upang magpakalat ng isang malakas na password sa pagnanakaw ng malware na tinatawag na Qakbot. Ang mga mananaliksik sa cybersecurity ay naalarma sa pag-atake ngunit hindi nagulat sa pagpino ng mga umaatake sa kanilang mga diskarte.
"Patuloy na ina-update ng mga cybercriminal ang kanilang mga pag-atake upang subukang maiwasan ang pagtuklas at, sa huli, makamit ang kanilang mga layunin, " sinabi ni Jack Chapman, VP ng Threat Intelligence sa Egress, sa Lifewire sa pamamagitan ng email. "Kaya kahit na hindi namin partikular na alam kung ano ang susunod nilang susubukan, alam namin na palaging may susunod na pagkakataon, at ang mga pag-atake ay patuloy na umuunlad."
Friendly Neighborhood Hacker
Sa kanilang post, tinatakbuhan ng Zscaler ang iba't ibang nakakabinging pamamaraan na ginagamit ng mga umaatake upang mabuksan ng mga biktima ang kanilang email.
Kabilang dito ang paggamit ng nakakaakit na mga pangalan ng file na may mga karaniwang format, gaya ng. ZIP, upang linlangin ang mga biktima sa pag-download ng mga nakakahamak na attachment.
Ang pag-obfuscate ng malware ay naging isang popular na taktika sa loob ng maraming taon, ibinahagi ni Chapman, na nagsasabing nakakita sila ng mga pag-atake na nakatago sa maraming iba't ibang uri ng file, kabilang ang mga PDF at bawat uri ng dokumento ng Microsoft Office.
"Ang mga sopistikadong cyberattack ay ginawa upang maabot ang pinakamagandang pagkakataon na maabot ang kanilang mga target," sabi ni Chapman.
Nakakatuwa, napapansin ng Zscaler na ang mga nakakahamak na attachment ay ipinasok bilang mga tugon sa mga aktibong email thread. Muli, hindi nagulat si Chapman sa sopistikadong social engineering sa mga pag-atakeng ito. "Kapag naabot na ng pag-atake ang target, kailangan ng cybercriminal na kumilos sila-sa kasong ito, upang buksan ang email attachment," ibinahagi ni Chapman.
Keegan Keplinger, Research and Reporting Lead sa eSentire, na naka-detect at nag-block ng dose-dosenang insidente ng campaign sa Qakbot noong Hunyo lamang, ay itinuro din ang paggamit ng mga nakompromisong email inbox bilang highlight ng pag-atake.
"Nalalampasan ng diskarte ng Qakbot ang mga pagsusuri sa tiwala ng tao, at mas malamang na i-download at isagawa ng mga user ang payload, na iniisip na mula ito sa pinagkakatiwalaang source," sabi ni Keplinger sa Lifewire sa pamamagitan ng email.
Itinuro ni Adrien Gendre, Chief Tech at Product Officer sa Vade Secure, na ginamit din ang diskarteng ito sa mga pag-atake ng Emotet noong 2021.
"Karaniwang sinanay ang mga user na maghanap ng mga nilokong email address, ngunit sa ganitong sitwasyon, hindi makatutulong ang pag-inspeksyon sa address ng nagpadala dahil ito ay isang lehitimong address, kahit na nakompromiso," sabi ni Gendre sa Lifewire sa isang talakayan sa email.
Curiosity Pumatay ng Pusa
Sinasabi ni Chapman na bilang karagdagan sa pagsasamantala sa dati nang umiiral na relasyon at tiwala na binuo sa pagitan ng mga taong sangkot, ang paggamit ng mga umaatake sa mga karaniwang uri ng file at mga extension ay nagreresulta sa hindi gaanong kahina-hinala ang mga tatanggap at mas malamang na buksan ang mga attachment na ito.
Paul Baird, Chief Technical Security Officer UK sa Qualys, ay nagsabi na bagama't dapat harangan ng teknolohiya ang mga ganitong uri ng pag-atake, ang ilan ay palaging makakalusot. Iminumungkahi niya na ang pagpapaalam sa mga tao sa kasalukuyang mga banta sa isang wikang mauunawaan nila ang tanging paraan upang pigilan ang pagkalat.
"Dapat mag-ingat ang mga user, at sanayin, na kahit isang pinagkakatiwalaang email address ay maaaring maging malisyoso kung makompromiso," sang-ayon ni Gendre. "Totoo ito lalo na kapag ang isang email ay may kasamang link o isang attachment."
Iminumungkahi ng Gendre na dapat maingat na basahin ng mga tao ang kanilang mga email upang matiyak na ang mga nagpadala ay ang sinasabi nilang sila. Itinuro niya na ang mga email na ipinadala mula sa mga nakompromisong account ay madalas na maikli at hanggang sa punto na may napakapurol na mga kahilingan, na isang magandang dahilan upang i-flag ang email bilang kahina-hinala.
Dagdag dito, itinuturo ni Baird na ang mga email na ipinadala ng Qakbot ay karaniwang isusulat nang iba kung ihahambing sa mga pag-uusap na karaniwan mong ginagawa sa iyong mga contact, na dapat magsilbing isa pang babala. Bago makipag-ugnayan sa anumang mga attachment sa isang kahina-hinalang email, iminumungkahi ni Baird na kumonekta ka sa contact gamit ang isang hiwalay na channel upang i-verify ang pagiging tunay ng mensahe.
"Kung makatanggap ka ng anumang email [na may] mga file na hindi mo inaasahan, huwag mo silang tingnan, " ang simpleng payo ni Baird. "Ang pariralang 'Curiosity killed the cat' ay naaangkop sa anumang makukuha mo sa email."
