Malware komt doorgaans de infrastructuur van een bedrijf binnen via e-mail, maar dit is niet de enige infectiemethode. De voornaamste manier om cyberincidenten te voorkomen, is voorkomen dat malware de infrastructuur van uw bedrijf binnendringt. Daarom richten deskundigen zich bij het ontwikkelen van een informatiebeveiligingsstrategie vaak op de meest voor de hand liggende aanvalsvectoren, zoals e-mailverkeer. De meeste aanvallen beginnen inderdaad met een e-mail, maar vergeet niet dat cybercriminelen nog tal van andere methodes hebben om malware bij hun slachtoffers af te leveren. Deskundigen van Kaspersky’s Global Research & Analysis Team spraken over ongebruikelijke methodes om malware te verspreiden en apparaten te infecteren die ze zijn tegengekomen tijdens het analyseren van recente bedreigingen.
- Typosquatting om een tool te spoofen
De makers van malware met de naam 'AdvancedIPSpyware' besloten hun code op te nemen in de Advanced IP Scanner-tool voor systeembeheerders. Ze maakten twee websites met exact hetzelfde ontwerp als het origineel, plus domeinnamen die slechts één letter verschilden. Ze rekenden er dus op dat het slachtoffer op zoek zou gaan naar een lokaal netwerkbewakingsprogramma en het programma met een achterdeurtje via een nepsite zou downloaden. Interessant is dat de schadelijke versie van Advanced IP Scanner was ondertekend met een legitiem digitaal certificaat, dat lijkt te zijn gestolen.
- Links onder YouTube-video’s
De operators van OnionPoison probeerden iets soortgelijks: ze maakten hun eigen schadelijke versie van de Tor-browser (alleen dan zonder digitale handtekening). Maar om hun nepbrowser te verspreiden, plaatsten ze een link op een populair YouTube-kanaal over online anonimiteit onder een video met instructies voor het installeren van Tor. De geïnfecteerde versie kon niet worden bijgewerkt en bevatte een achterdeurtje voor het downloaden van een aanvullende schadelijke bibliotheek. Dit stelde de aanvallers op hun beurt in staat om willekeurige commando’s in het systeem uit te voeren en om de browsergeschiedenis en WeChat- en QQ-account-ID’s te bemachtigen.
- Malware verspreid via torrents
De makers van CLoader hebben hun malware-installers vermomd als illegale games en nuttige software. Deze methode is meestal meer gericht op thuisgebruikers, maar tegenwoordig – nu op afstand werken de norm is en de bedrijfsgrenzen dus vervagen – kunnen schadelijke torrents ook een bedreiging vormen voor werkcomputers. Slachtoffers die probeerden illegale software via torrents te downloaden, kregen in plaats daarvan malware binnen die als proxyserver op de geïnfecteerde machine kon draaien en aanvullende malware kon installeren of onbevoegde toegang op afstand tot het systeem kon verlenen.
- Zijwaartse beweging via legitieme tools
De laatste versies van de 'BlackBasta-ransomware' kunnen zich via een lokaal netwerk verspreiden met behulp van bepaalde Microsoft-technologieën. Nadat een enkele computer is geïnfecteerd, kan het via de LDAP-bibliotheek verbinding maken met Active Directory, een lijst van computers in het lokale netwerk opvragen, de malware daarop kopiëren en deze op afstand uitvoeren met behulp van het Component Object Model (COM). Deze methode laat minder sporen achter in het systeem en maakt detectie dus moeilijker.
Hoe u zich hier tegen beschermt
Deze voorbeelden tonen aan dat bedrijfsinfrastructuur uitgebreide bescherming nodig heeft. Natuurlijk, een oplossing die alle inkomende e-mail scant op pogingen tot phishing, schadelijke links en bijlages zal u tegen de meeste aanvallen wel beschermen. Maar vergeet niet dat elke computer met internettoegang aanvullend moet zijn uitgerust met een eigen anti-malware-beschermingssysteem. En om beter te begrijpen wat er nu eigenlijk binnen uw bedrijfsnetwerk gebeurt, is het een goed idee om ook EDR-oplossingen in te zetten.
Bron: securelist.com, kaspersky.nl
Meer info over malware of alle begrippen en vormen van A tot Z
Meer malware nieuws
'Emotet vs The World Police'
Kaspersky brengt de nieuwste aflevering uit van zijn hacker:HUNTER-serie 'Emotet vs The World Police'. De film onthult de details van een internationale operatie (LadyBird), die resulteerde in de uitschakeling van Emotet, een van de gevaarlijkste botnets en cybercriminele diensten van het afgelopen decennium. De documentaire is te zien onderaan deze pagina of op het Youtube kanaal van Kaspersky. Bekijk de trailer hieronder.
Meer dan tienduizend Facebook accounts in handen van cybercriminelen
Android-malware met de naam 'FlyTrap' heeft tot nu toe meer dan tienduizend slachtoffers gemaakt in meer dan 140 landen. Via social engineering wisten de daders sessiecookies en andere gegevens te stelen en zo toegang te krijgen tot meer dan tienduizend Facebook-accounts. Vervolgens stalen de aanvallers allerlei persoonlijke gegevens en stuurden deze informatie door naar Command & Control servers.
Er staat een voicemail bericht voor u klaar
Er gaat een nieuwe variant van de malware FluBot rond in ons land. In de nieuwe variant zegt de afzender dat er een voicemailbericht voor je klaarstaat. Smartphonegebruikers die op de bijgevoegde link tikken, worden doorgeleid naar een pagina waar hen gevraagd wordt een app te downloaden om het bericht af te luisteren. Net als bij het origineel gaat het om een malafide applicatie waarmee geld naar buitenlandse rekeningen wordt overgemaakt.
Gebruik je Facebook, verwijder dan deze 9 malafide apps
In de Google Play Store zijn meerdere malafide apps ontdekt die in staat zijn om Facebook-gebruikersnamen, wachtwoorden én sessiecookies te onderscheppen, en wel op zo'n manier dat gebruikers niks doorhebben. Het gaat om apps die gezamenlijk meer dan 5,8 miljoen keer zijn gedownload. Hoe werkt deze malware, en om welke apps gaat het? Dat lees je hier.
FluBot-malware gebruikt nu ook WhatsApp om Nederlandse Android gebruikers te infecteren
Het aantal KPN-klanten dat met een piek in het sms-gebruik te maken kreeg is vorige week na de uitbraak van de FluBot-malware sterk gestegen, zo laat de telecomprovider tegenover de media weten. Daarnaast gebruikt de malware nu ook WhatsApp om Nederlandse Android gebruikers te infecteren. KPN is begonnen om klanten die vermoedelijk met de FluBot-malware besmet zijn proactief te waarschuwen.
Qbot volgt Emotet op en is betrokken bij 22 procent van de cyberaanvallen
Toen Emotet eind januari werd stilgelegd door een internationale politieoperatie, rees al snel de vraag: welke malware gaat Emotet opvolgen? Het antwoord is Qbot. Uit actuele cijfers van G DATA CyberDefense, blijkt dat Qbot bij bijna één op de vier cyberaanvallen van het eerste kwartaal betrokken is geweest.