Uit onderzoek van Barracuda blijkt dat aanvallers bij phishingaanvallen gebruikmaken van een geavanceerde, listige techniek om ongemerkt informatie te wegsluizen. Daarbij wordt geavanceerde infostealer malware gebruikt die PDF-bestanden uit de meeste mappen kan verzamelen, maar die ook browserinformatie zoals sessiecookies, opgeslagen creditcardgegevens, bitcoin-gerelateerde extensies en de browsergeschiedenis kan wegsluizen. Dit doet het door de informatie als een gezipte bijlage naar een remote e‑mailaccount te sturen. Het is ongebruikelijk om infostealers te zien die zijn ontwikkeld om zoveel verschillende soorten informatie te verzamelen en weg te sluizen.
Volgens de onderzoekers van Barracuda begint de aanval met een phishing e‑mail waarin de ontvanger wordt aangezet om een bijgevoegde inkooporder te openen. De naam van het bedrijf en de contact gegevens lijken verzonnen te zijn. De bijlage bevat een disc image bestand. Daarin zit een ander bestand, dat op zijn beurt een aantal schadelijke payloads downloadt en uitvoert. De laatste payload is de infostealer, een onherkenbaar en versleuteld Python script, dat meerdere lagen van decodering doorloopt voordat de uiteindelijke executable code wordt onthuld.
“De meeste phishing-aanvallen worden geassocieerd met het stelen van data, maar hier hebben we te maken met een aanval die is gemaakt voor het uitgebreid wegsluizen van data, uitgevoerd door een geavanceerde infostealer”, zegt Saravanan Mohan, Manager – Threat Analyst bij Barracuda. “De hoeveelheid en het bereik van gevoelige informatie dat hiermee gestolen kan worden, is groot. Sommige van deze data kunnen mogelijk worden gebruikt voor verdere schadelijke activiteiten, zoals laterale bewegingen door de organisatie of financiële fraude. Omdat cybercriminelen blijven doorgaan met het ontwikkelen van geavanceerde methoden om kritieke informatie te stelen, is het belangrijk dat bedrijven waakzaam en proactief blijven in hun cybersecurity-inspanningen.”
Effectieve securitymaatregelen zoals het invoeren van robuuste securityprotocollen en continu monitoren op verdachte activiteiten zijn belangrijk om het risico op datadiefstal te verkleinen. Nog belangrijker is om medewerkers uitleg te geven over mogelijke risico’s en wat ze zelf kunnen doen om deze risico’s te herkennen en te voorkomen. Organisaties zouden daarnaast e‑mailsecurity oplossingen met meerlaagse detectie op basis van AI en machine learning moeten inzetten. Dit voorkomt dat dit soort aanvallen de inbox van gebruikers bereiken.
Kijk hier voor meer informatie.
