Hackers gebruiken vaak volwassen websites met een nieuwe domeinnaam om online slachtoffers te maken. De fraudeurs kiezen bewust voor jonge webpagina’s (“Newly Registered Domains”) omdat de detectiemechanismen makkelijker te omzeilen zijn. Meestal gebruiken ze de “drive-by-download” techniek, waarbij een slachtoffer wordt bedrogen om op een knop te klikken. Een malware wordt daarna geïnstalleerd zonder dat de persoon het goed en wel beseft. Dit blijkt uit het Network Threat Report van de UNIT 42-onderzoekstak van Palo Alto Networks.
Nieuwe websites
Eén op de vijf jonge URLs die malware bevatten, is een volwassen site. De reden is niet zo ver te zoeken: erotische sites trekken van nature veel mensen aan en de bezoekers zijn al sneller bereid een file te downloaden. Naast volwassen websites zijn ook websites voor financiële dienstverlening en muzieksites erg in trek bij online criminelen die op zoek zijn naar nieuwe domeinnamen om hun malware in te verstoppen.
Gevestigde websites
Hoewel nieuwe websites makkelijker te breken zijn, wagen cybercrimenelen zich ook aan gevestigde domeinen. Via zogenaamde injectietechnieken proberen hackers hun kwaadaardige code op legale webpagina’s te krijgen. Ze zoeken voortdurend naar kwetsbaarheden in de bibliotheken, de invoegtoepassingen (plugins) van derde partijen of op de websites zelf. Eens gelukt, stuurt de kwaadaardige code de bezoekers door naar een frauduleuze URL zoals een phishing of adware pagina.
Uit onderzoek van de UNIT 42-tak blijkt dat WordPress websites vandaag het favoriete doelwit zijn van hackers op zoek naar gevestigde URLs om hun malware in te verbergen. Dit doet vermoeden dat één of meerdere plugins voor WordPress belangrijke kwetsbaarheden bevatten.
Misbruik van AI
Elke trend die het licht ziet, is een nieuwe opportuniteit voor cybercriminelen om slachtoffers te maken. Dat is niet anders met AI en ChatGPT. Voorlopig hebben de onderzoekers bij Palo Alto Networks wel nog geen voorbeelden gevonden waarbij AI kwaadaardige activiteiten zelf opzet. Wel zien ze een explosie van het aantal aanvallen die de populariteit van AI en GPT misbruiken.
Tussen november 2022 en april 2023 zagen de onderzoekers bijvoorbeeld een toename van niet minder dan 910% van het aantal maandelijkse registraties van goed- en kwaadaardige websites die verwijzen naar ChatGPT. Het aantal namaakwebsites die ChatGPT proberen na te bootsen via zogenaamde “krakersdomeinen” is dan weer toegenomen met een luttele 17.818% (!).
“Cybercriminelen kiezen vaak voor pagina’s met een nieuwe domeinnaam om aanvallen te lanceren. Aan onze klanten raden we aan om de toegang tot websites die minder dan 32 dagen bestaan simpelweg te blokkeren via geavanceerde URL-filtrering en domeinnaambeveiliging. Uit ons onderzoek blijkt dat de eerste 32 dagen cruciaal zijn om te bepalen of een website kwaadaardig is of niet”, aldus UNIT 42.
Klik hier om het Network Threat Report te downloaden.
