Cybercriminelen gebruiken snelkoppelingen om toegang te krijgen tot zakelijke pc’s

Amstelveen, 11 augustus 2022 – Het aantal malware in archiefbestanden, waaronder snelkoppelingen, steeg met 11% ten opzichte van vorig kwartaal. Dit blijkt uit het HP Wolf Security Threat Insights Report waarin cyberaanvallen worden geanalyseerd. Dit rapport toont aan dat een groot gedeelte van de cybercriminelen die malwarefamilies verspreiden – waaronder QakBot, IceID, Emotet en RedLine Stealer – overstappen naar snelkoppelingen (LNK-bestanden) om malware te verspreiden.

Snelkoppelingen vervangen de macro’s van Office – die standaard worden geblokkeerd in Office – als een manier voor aanvallers om voet aan de grond te krijgen in netwerken, door gebruikers ertoe te verleiden hun pc’s te infecteren met malware. Deze toegang kan worden gebruikt om waardevolle bedrijfsgegevens te stelen. Ook kunnen deze worden doorverkocht aan ransomware-groepen, wat kan leiden tot grootschalige inbreuken die de bedrijfsactiviteiten kunnen stilleggen en resulteren in aanzienlijke herstelkosten.

Cybercriminelen plaatsen vaak snelkoppelingsbestanden in ZIP e-mailbijlagen om hen te helpen e-mailscanners te ontwijken. Het HP Wolf Security threat researchteam zag ook dat LNK-malwarebouwers te koop waren op hackerforums, waardoor het voor cybercriminelen makkelijk werd om over te schakelen op deze “macrovrije” code-uitvoeringstechniek. “Het openen van een snelkoppeling of HTML-bestand lijkt misschien onschadelijk voor een werknemer, maar dit kan leiden tot een groot risico voor de onderneming”, legt Alex Holland uit, Senior Malware Analyst van het HP Wolf Security threat researchteam. “We raden aan om snelkoppelingsbestanden die als e-mailbijlagen zijn ontvangen of van het web gedownload zijn onmiddellijk te blokkeren.”

HTML-smokkel ligt op de loer
HP heeft verschillende phishingcampagnes geïdentificeerd bestaande uit e-mails die zich voordeden als regionale postdiensten of – zoals HP voorspelde – grote evenementen zoals Doha Expo 2023 (waar wereldwijd meer dan 3 miljoen bezoekers op afkomen) waarbij HTML-smokkel werd gebruikt om malware af te leveren. Met deze techniek kunnen gevaarlijke bestandstypen organisaties worden binnengesmokkeld en tot malware-infecties leiden, die anders door e-mailgateways zouden worden geblokkeerd.

Aanvallers maken misbruik van het beveiligingslek dat is ontstaan door de Zero-Day-kwetsbaarheid Follina (CVE 2022-30190)
Na de bekendmaking ervan hebben meerdere bedreigers misbruik gemaakt van het recente ‘zero-day’-lek in het Microsoft Support Diagnostic Tool (MSDT), dat de naam ‘Follina’ kreeg, om QakBot, Agent Tesla en de Remcos RAT (Remote Access Trojan) te verspreiden voordat er een patch beschikbaar was. De kwetsbaarheid is bijzonder gevaarlijk omdat aanvallers er arbitraire codes mee kunnen uitvoeren om malware te implementeren. Er is weinig interactie van de gebruiker nodig om de kwetsbaarheid uit te buiten op het door de aanvallers voorziene apparaat.

Nieuwe uitvoeringstechniek zorgt voor verspreiding van SVCReady-malware door verborgen shellcode in documenten
HP heeft tevens een phishingcampagne ontdekt die een nieuwe malwarefamilie genaamd SVCReady verspreidt. Deze familie valt op door de ongebruikelijke manier waarop de malware op doelcomputers wordt afgeleverd – via shellcode die in de eigenschappen van Office-documenten is verborgen. De malware – die voornamelijk is ontworpen om secundaire malware payloads te downloaden naar geïnfecteerde computers nadat er systeeminformatie en schermafbeeldingen zijn verzameld – bevindt zich nog in een vroeg ontwikkelingsstadium en is de afgelopen maanden verschillende keren geupdated.

Andere belangrijke bevindingen in het rapport zijn:
• 14% van de e-mailmalware die door HP Wolf Security werd vastgelegd, omzeilde ten minste één e-mailgatewayscanner.
• Bedreigingsactoren gebruikten 593 verschillende malwarefamilies in hun pogingen om organisaties te infecteren, vergeleken met 545 in het voorgaande kwartaal.
• Spreadsheets bleven het belangrijkste kwaadaardige bestandstype, maar het bedreigingsonderzoeksteam zag een stijging van 11% in archiefbedreigingen – wat suggereert dat aanvallers steeds vaker bestanden in archiefbestanden plaatsen voordat ze worden verzonden om detectie te omzeilen.
• 69% van de gedetecteerde malware werd geleverd via e-mail, terwijl web downloads verantwoordelijk waren voor 17%.
• De meest voorkomende phishing-lokkers waren zakelijke transacties zoals “Bestelling”, “Betaling”, “Aankoop”, “Verzoek” en “Factuur”
Over de gegevens
Deze gegevens zijn anoniem verzameld onder HP Wolf Security-klanten van april tot juni 2022.

Over HP
HP Inc. is een technologiebedrijf dat gelooft dat één goed doordacht idee het vermogen heeft om de wereld te veranderen. Het product- en dienstenportfolio van persoonlijke computersystemen, printers en 3D-printoplossingen van HP helpt deze ideeën tot leven te brengen. Bezoek http://www.hp.nl voor meer informatie.

Over HP Wolf Security
HP Wolf Security is een nieuw soort endpoint security. HP’s portfolio van hardware matige beveiliging en endpoint-gerichte beveiligingsservices is ontworpen om organisaties te helpen pc’s, printers en mensen te beschermen tegen rondcirkelende cybercriminelen. HP Wolf Security biedt uitgebreide endpoint-bescherming en veerkracht op zowel hardware niveau en software en services.i Bezoek https://www.hp.com/uk-en/security/endpoint-security-solutions.html.