Cybercriminelen veranderen hun tactiek

Gepubliceerd op 2 augustus 2022 om 15:00

Cybercriminelen zijn overgestapt op nieuwe tactieken naar aanleiding van de aankondigingen van Microsoft dat macro's standaard worden geblokkeerd in Microsoft Office-applicaties. Dit blijkt uit nieuw onderzoek van Proofpoint. Aanvallers hebben op Microsoft gereageerd door af te stappen van op macro's gebaseerde aanvallen en in plaats daarvan meer gebruik maken van containerformats om malware te verspreiden. Proofpoint heeft geconstateerd dat het gebruik van VBA- en XL4-macro's met ongeveer 66% is afgenomen tussen oktober 2021 en juni 2022. Proofpoint stelt dat dit "een van de grootste verschuivingen in het dreigingslandschap voor e-mailaanvallen in de recente geschiedenis" is. 

Microsoft kondigde in oktober 2021 en februari 2022 aan dat het XL4- en VBA-macro's standaard gaat blokkeren voor Office-gebruikers. De wijzigingen zijn uiteindelijk dit jaar van start gegaan. Cybercriminelen hebben hier op gereageerd door af te stappen van macro-gebaseerde aanvallen.

Containerbestanden in plaats van macro's

Op basis van data van Proofpoint tussen oktober 2021 tot en met juni 2022 blijkt dat het gebruik van documenten met macro's om malware te verspreiden met 66% is afgenomen. Daar staat tegenover dat criminelen steeds vaker kiezen voor containerbestanden zoals ISO- en RAR-bijlagen en Windows snelkoppelingen (LNK-bestanden).

VBA-macro's worden door cybercriminelen gebruikt om automatisch malafide content uit te voeren wanneer een gebruiker macro's heeft ingeschakeld in Office-applicaties. XL4-macro's zijn specifiek voor Excel bedoeld, maar kunnen ook als wapen worden gebruikt door aanvallers. Doorgaans maken criminelen die documenten met macro's verspreiden gebruik van social engineering om de ontvanger ervan te overtuigen dat de inhoud belangrijk is en dat macro's moeten worden ingeschakeld om deze te kunnen bekijken.

Voorbeeld van een Excel-bijlage met Emotet uit een recente campagne

Aanval via macro's gaan ook nog door

Onderzoekers van Proofpoint verwachtten dat aanvallers zouden afstappen van documenten met macro's die als bijlagen bij het bericht zijn gevoegd of via een URL zijn gedownload om de verdediging van Microsoft te omzeilen. Hoewel Proofpoint een opvallende toename van andere soorten bijlagen heeft waargenomen, worden documenten met macro's nog steeds in het hele bedreigingslandschap gebruikt. Onderzoekers van Proofpoint onderzochten het gebruik van meerdere bestandstypen vanaf oktober 2021 tot en met juni 2022 om het bedreigingslandschap beter te begrijpen en te anticiperen op toekomstig gedrag.

Mark of the Web omzeilen

Microsoft gaat VBA-macro's blokkeren op basis van een zogeheten Mark of the Web (MOTW)-attribuut dat aangeeft of een bestand van het internet komt, bekend als de Zone.Identifier. Microsoft-applicaties voegen dit kenmerk toe aan documenten die van het internet worden gedownload. MOTW kan echter worden omzeild door containerformats te gebruiken.

Aanvallers kunnen containerformats zoals ISO (.iso), RAR (.rar), ZIP (.zip) en IMG (.img) gebruiken om documenten met macro's te verzenden. Bij het downloaden zullen die bestanden het MOTW-attribuut hebben omdat ze van het internet zijn gedownload. Maar het interne document, zoals een spreadsheet met macro's, zal dat niet hebben. Wanneer het document wordt uitgepakt, moet de gebruiker nog steeds macro's inschakelen om de schadelijke code automatisch te laten uitvoeren, maar het bestandssysteem zal het document niet identificeren als afkomstig van het internet.

Campagne statistieken

Proofpoint ziet dat het aantal e-mailaanvallen waarbij documenten met macro's als bijlage worden gebruikt, significant is gedaald. Tussen oktober 2021 en juni 2022 daalde dit zelfs met meer dan twee derde. In ditzelfde tijdsbestek is het aantal campagnes dat gebruikmaakt van containerbestanden, waaronder ISO- en RAR-bestanden, en Windows Shortcut (LNK)-bijlagen met bijna 175% toegenomen.

Aantal e-mailaanvallen met containerformats versus macro's

Deze toename is deels toe te schrijven aan het toegenomen gebruik van ISO- en LNK-bestanden in campagnes. Cybercriminelen gebruiken deze bestanden steeds vaker als mechanisme voor de eerste toegang, bijvoorbeeld bij de verspreiding van Bumblebee. Het gebruik van ISO-bestanden is tussen oktober 2021 en juni 2022 met meer dan 150% toegenomen. Meer dan de helft van de 15 getraceerde cybercriminele groepen die in deze periode ISO-bestanden gebruikten, begon deze na januari 2022 in campagnes te gebruiken.

Conclusie

Cybercriminelen stappen af van documenten met macro's en kiezen steeds vaker voor andere bestandstypen om toegang te krijgen tot een organisatie. Deze verschuiving heeft te maken met het gebruik van ISO- en andere containerformats, evenals LNK-bestanden. Dergelijke bestandstypen kunnen de bescherming tegen macro's van Microsoft omzeilen, maar ook de distributie van uitvoerbare bestanden makkelijker maken. Dit kan vervolgens leiden tot nieuwe malware, dataverkenning, diefstal van data en ransomware.
Onderzoekers van Proofpoint achten de kans groot dat dit een van de grootste verschuivingen in het dreigingslandschap voor e-mailaanvallen is in de recente geschiedenis. Het is waarschijnlijk dat bedreigingsactoren containerformats blijven gebruiken om malware te verspreiden, en dat ze minder vertrouwen op bijlagen met macro's. De volledige analyse van het onderzoek kunt u hier onder bekijken of downloaden.

Advies om je bedrijf tegen de huidige en toekomstige bedreigingen te beschermen

  • Beheers de basisprincipes om de kansen van cybercriminelen te verkleinen: zoals multifactorauthenticatie en patchbeheer en geef prioriteit aan zelfherstellende hardware om de veerkracht te vergroten.
  • Bereid je voor op het ergste; beperk het risico van uw mensen en partners door processen in te stellen om de beveiliging van leveranciers te controleren en het personeel te onderwijzen over social engineering. Oefen met reacties op aanvallen, om problemen te kunnen identificeren, verbeteringen aan te brengen en beter voorbereid te zijn.
  • Cybercriminaliteit is een teamsport en cyberbeveiliging moet dat ook zijn: praat met collega's om informatie over bedreigingen te delen en wees proactief door open discussies op ondergrondse forums te volgen. Werk samen met beveiligingsdiensten van derden om zwakke plekken en kritieke risico's aan het licht te brengen.
  • Ga je online pas de ABC methode toe
    • A = alert blijven
    • B = bescherm jezelf
    • C = check altijd

Meer info over ABC en downloads

Bron: andere, proofpoint.com

How Threat Actors Are Adapting To A Post
PDF – 403,4 KB 268 downloads

Meer rapporten? Kijk dan hier »

Meer actueel nieuws 

Digitale fraude, oplichting meldingen week 18-2021

Het melden van 'digitale oplichting' pogingen is belangrijk, door het melden kunnen we andere potentiële slachtoffers behoeden voor het te laat is. Heb je een phishing mail, smishing bericht of werd je gebeld en vertrouw je het niet? Laat het ons, of onze collega's van Opgelicht?!, Radar, Kassa, of Fraudehelpdesk dan weten, want Samen bestrijden we cybercrime / digitale fraude. Ben je slachtoffer geworden van oplichting doe dan 'altijd' aangifte bij de politie.

Lees meer »

Rekening laten misbruiken door criminelen, je komt er niet mee weg!

Afgelopen week zijn er in Westvoorne, Brielle en Hellevoetsluis geldezels in de leeftijd van 18 jaar tot 35 jaar aangepakt op verdenking van betrokkenheid bij internetoplichting en witwassen. Deze actie van het team Veel Voorkomende Criminaliteit (VVC) Haringvliet is in navolging op de actiedagen in februari en eind maart toen rechercheurs in samenwerking met reclassering, Humanitas DMH (trajectbegeleiding bij Licht Verstandelijke Beperking en Multi problematiek) en het Openbaar Ministerie al 25 geldezels hebben verhoord.

Lees meer »

Malware Moriya heeft controle over de Windows-kernel

Cybersecurity onderzoekers hebben TunnelSnake blootgelegd, een lopende advanced persistent threat (APT) campagne, die actief is sinds 2019. De APT richtte zich op regionale en diplomatieke organisaties in Azië en Afrika. De aanvallers hebben een voorheen onbekende rootkit ingezet, die de naam Moriya heeft gekregen. Dit stuk malware, met bijna volledige macht over het besturingssysteem, stelde bedreigingsactoren in staat om netwerkverkeer te onderscheppen en kwaadaardige instructies te verbergen die werden gegeven aan de geïnfecteerde organisaties. Dit leidde ertoe dat de aanvallers maandenlang stiekem de controle hadden over de netwerken van de beoogde instanties.

Lees meer »

De gezondheidszorg wordt niet ontzien door cybercriminelen

Een cyberaanval op een kliniek of ziekenhuis is letterlijk een kwestie van leven of dood. In 2020 bezweken zorginstellingen over de hele wereld bijna onder de druk van de COVID-19-pandemie, en de acties van cybercriminelen droegen alleen maar aan de ellende bij. Een van de meest significante dreigingen voor zorginstellingen in het afgelopen jaar kwam van ransomware aanvallen .

Lees meer »

Phishers voegen maar liefst 12 banken toe om het echt te laten lijken

Wie zaken doet via Marktplaats, moet altijd op zijn hoede zijn als een (ver)koper vraagt om een rekeningnummer te verifiëren. In een nieuwe variant van deze oplichtingstruc hebben oplichters een levensechte website van betaaldienst Tikkie nagebouwd. Slechts aan de url kun je zien dat je met een nepsite te maken hebt. Let je even niet op? Dan is je rekening binnen de kortste keren geplunderd.

Lees meer »