HP betrapt cybercriminelen op ‘Cat-Phishing’ van gebruikers

Amstelveen, 21 mei 2024 – HP Inc. (NYSE: HPQ) heeft haar kwartaalrapport HP Wolf Security Threat Insights Report uitgebracht, waarin wordt aangetoond dat aanvallers vertrouwen op open redirects, achterstallige facturen en ‘Living-off-the-Land’ (LotL)-technieken. Het rapport analyseert echte cyberaanvallen en helpt organisaties op de hoogte te blijven van de nieuwste technieken die cybercriminelen gebruiken om detectie te ontwijken en pc’s te infiltreren in het snel veranderende landschap van cybercriminaliteit.

Op basis van gegevens van miljoenen apparaten die HP Wolf Security gebruiken, hebben HP-onderzoekers de volgende opvallende technieken geïdentificeerd:

Aanvallers gebruiken open redirects om gebruikers te ‘Cat-Phishen’: In een geavanceerde WikiLoader-campagne maakten aanvallers gebruik van open redirects op websites om detectie te omzeilen. Gebruikers werden eerst naar betrouwbare sites geleid, vaak via een doorverwijzingslink in advertenties, en vervolgens doorgestuurd naar schadelijke sites. Hierdoor was het voor gebruikers vrijwel onmogelijk om de redirect op te merken.
Living-off-the-BITS: Verschillende campagnes misbruikten de Windows Background Intelligent Transfer Service (BITS) – een legitiem mechanisme dat door programmeurs en systeembeheerders wordt gebruikt om bestanden te downloaden of uploaden naar webservers en bestandsshares. Door deze LotL-techniek konden aanvallers onopgemerkt blijven door BITS te gebruiken om de schadelijke bestanden te downloaden.
Valse facturen die leiden tot HTML-smokkel aanvallen: HP ontdekte aanvallers die malware verborgen in HTML-bestanden die zich voordeden als facturen. Wanneer deze bestanden in een webbrowser werden geopend, veroorzaakten ze een keten van gebeurtenissen die de open-source malware AsyncRAT activeerden. Opmerkelijk is dat de aanvallers weinig aandacht besteedden aan het ontwerp van de facturen, wat suggereert dat de aanvallen met minimale tijd en middelen zijn uitgevoerd.

Patrick Schläpfer, Principal Threat Researcher in het HP Wolf Security threat research team, licht toe:

“Het sturen van nepfacturen naar bedrijven is een oude truc, maar nog steeds erg effectief en winstgevend. Mensen op de financiële afdeling zijn gewend om facturen per e-mail te ontvangen en openen ze vaak zonder na te denken. Als de aanval slaagt, kunnen de criminelen snel geld verdienen door toegang te verkopen aan andere criminelen of door ransomware te gebruiken.”

Door bedreigingen te isoleren die detectiegebaseerde tools hebben weten te omzeilen – maar nog steeds malware veilig laten detoneren – heeft HP Wolf Security specifiek inzicht in de nieuwste technieken die door cybercriminelen worden gebruikt. Tot op heden hebben klanten van HP Wolf Security meer dan 40 miljard e-mailbijlagen, webpagina’s en gedownloade bestanden geopend zonder dat er een inbraak is gemeld.

Het rapport geeft gedetailleerd weer hoe cybercriminelen hun aanvalsmethoden blijven verfijnen om beveiligingsbeleid en detectietools te omzeilen. Andere bevindingen zijn onder meer:

Minstens 12% van de e-maildreigingen, geïdentificeerd door HP Sure Click*, omzeilden een of meer e-mailgateway-scanners.
De voornaamste dreigingsvectoren in Q1 waren e-mailbijlagen (53%), downloads vanuit browsers (25%) en andere infectievectoren, zoals verwisselbare opslag – zoals USB-sticks – en bestandsdeling (22%).
Dit kwartaal was ten minstens 65% van de documentdreigingen afhankelijk van een exploot om codes uit te voeren, in plaats van macro’s.

Dr. Ian Pratt, Global Head of Security for Personal Systems bij HP Inc., geeft commentaar:

“Living-off-the-Land-technieken tonen de fundamentele tekortkomingen van het vertrouwen op detectie alleen. Doordat aanvallers legitieme tools gebruiken, is het lastig om bedreigingen te ontdekken zonder veel valse positieven te generen. Bedreigingsbeheer biedt bescherming, zelfs bij falende detectie, door te voorkomen dat malware gebruikersgegevens of referenties exfiltreert of vernietigt, en door te voorkomen dat aanvallers doorzetten. Daarom moeten organisaties kiezen voor een defence-in-depth benadering van beveiliging, waarbij activiteiten met een hoog risico worden geïsoleerd en ingeperkt.”

HP Wolf Security** voert risicovolle taken uit in geïsoleerde, hardware versterkte virtuele wegwerpmachines die op het endpoint draaien om gebruikers te beschermen, zonder hun productiviteit te beïnvloeden. Het houdt ook nauwkeurig bij wanneer er pogingen tot infectie zijn. HP’s applicatie-isolatietechnologie stopt bedreigingen die andere beveiligingstools missen en geeft unieke inzichten in hoe aanvallers te werk gaan.

Informatie over de gegevens

Deze gegevens zijn verzameld van HP Wolf Security klanten die toestemming hebben gegeven, gedurende de periode januari tot maart 2024.

Dit artikel is een ingezonden bericht en valt buiten de verantwoordelijkheid van de redactie.

Industry Wire

Geplaatst door HP

HP betrapt cybercriminelen op ‘Cat-Phishing’ van gebruikers

HP betrapt cybercriminelen op ‘Cat-Phishing’ van gebruikers

Deel dit bericht