HP heeft zijn kwartaalrapport HP Wolf Security Threat Insights Report uitgebracht, waarin wordt aangetoond dat aanvallers vertrouwen op open redirects, achterstallige facturen en ‘Living-off-the-Land’ (LotL)-technieken.
Op basis van gegevens van miljoenen apparaten die HP Wolf Security gebruiken, hebben HP-onderzoekers de volgende opvallende technieken geïdentificeerd:
- Aanvallers gebruiken open redirects om gebruikers te ‘Cat-Phishen’: In een geavanceerde WikiLoader-campagne maakten aanvallers gebruik van open redirects op websites om detectie te omzeilen. Gebruikers werden eerst naar betrouwbare sites geleid, vaak via een doorverwijzingslink in advertenties, en vervolgens doorgestuurd naar schadelijke sites. Hierdoor was het voor gebruikers vrijwel onmogelijk om de redirect op te merken.
- Living-off-the-BITS: Verschillende campagnes misbruikten de Windows Background Intelligent Transfer Service (BITS) – een legitiem mechanisme dat door programmeurs en systeembeheerders wordt gebruikt om bestanden te downloaden of uploaden naar webservers en bestandsshares. Door deze LotL-techniek konden aanvallers onopgemerkt blijven door BITS te gebruiken om de schadelijke bestanden te downloaden.
- Valse facturen die leiden tot HTML-smokkel aanvallen: HP ontdekte aanvallers die malware verborgen in HTML-bestanden die zich voordeden als facturen. Wanneer deze bestanden in een webbrowser werden geopend, veroorzaakten ze een keten van gebeurtenissen die de open-source malware AsyncRAT activeerden. Opmerkelijk is dat de aanvallers weinig aandacht besteedden aan het ontwerp van de facturen, wat suggereert dat de aanvallen met minimale tijd en middelen zijn uitgevoerd.
Patrick Schläpfer, Principal Threat Researcher in het HP Wolf Security threat research team, licht toe: “Het sturen van nepfacturen naar bedrijven is een oude truc, maar nog steeds erg effectief en winstgevend. Mensen op de financiële afdeling zijn gewend om facturen per e-mail te ontvangen en openen ze vaak zonder na te denken. Als de aanval slaagt, kunnen de criminelen snel geld verdienen door toegang te verkopen aan andere criminelen of door ransomware te gebruiken.”
