Kortingsaanbieding voor meerdere licenties
Computerbeveiliging Hackers gebruiken afbeeldingen om malware te verbergen,...

Hackers gebruiken afbeeldingen om malware te verbergen, VIP-keylogger en 0bj3ctivity-stealer te implementeren

Tegen Mura in Computerbeveiliging
Vertalen naar:
Nederlands

Volgens het Threat Insights Report van HP Wolf Security voor Q3 2024 tillen cybercriminelen hun stealth-tactieken naar een hoger niveau door schadelijke code in te sluiten in afbeeldingsbestanden om malware te verspreiden, zoals VIP Keylogger en 0bj3ctivity Stealer. Deze geavanceerde campagnes maken gebruik van vertrouwde platformen zoals Archive.org om malware te verspreiden en omzeilen daarbij traditionele detectiemethoden.

Hoe de aanval werkt: malware verborgen in afbeeldingen

De campagnes beginnen met een phishing-e-mail die is ontworpen om slachtoffers te misleiden om kwaadaardige bijlagen te openen . Deze e-mails imiteren vaak facturen of inkooporders om geloofwaardigheid op te bouwen. Eenmaal geopend, activeert de bijlage een exploit voor de verouderde Microsoft Equation Editor-kwetsbaarheid ( CVE-2017-11882 ) om een VBScript-bestand te downloaden.

De aanvalsketen

  1. Phishing-e-mail : slachtoffers ontvangen een misleidende e-mail met schadelijke bijlagen.
  2. Uitvoering van VBScript : Het gedownloade VBScript voert een PowerShell-script uit.
  3. Afbeelding ophalen : PowerShell downloadt een afbeelding van Archive.org.
  4. Extractie van schadelijke code : de afbeelding bevat Base64-gecodeerde malware die wordt geëxtraheerd en gedecodeerd in een .NET-uitvoerbaar bestand.
  5. Payload Delivery : De .NET-loader installeert de uiteindelijke malware-payload.

In de eerste campagne is deze payload VIP Keylogger, een tool die is ontworpen om toetsaanslagen, klembordinhoud, screenshots en inloggegevens vast te leggen. In de tweede campagne is de payload 0bj3ctivity Stealer, een informatie-stelende malware.

Malware-kits verlagen de drempel voor aanvallers

De overeenkomsten tussen de twee campagnes geven aan dat cybercriminelen gebruikmaken van malwarekits. Deze kits stroomlijnen het aanvalsproces en verminderen de technische expertise die nodig is om complexe infectieketens uit te voeren. Deze trend weerspiegelt de toenemende commodificatie van cybercriminaliteit, waarbij vooraf gebouwde tools het zelfs voor beginnende aanvallers gemakkelijker maken om malware te implementeren.

Extra technieken in gebruik

HP Wolf Security identificeerde ook HTML-smokkel als een aanvullende tactiek. Bij deze methode leveren aanvallers malware zoals de XWorm RAT met behulp van AutoIt-droppers die verborgen zijn in kwaadaardige HTML-bestanden. Sommige van deze bestanden werden naar verluidt gegenereerd met behulp van GenAI-tools, wat laat zien hoe kunstmatige intelligentie wordt gebruikt om malwarelevering en -verduistering te verbeteren.

GitHub-campagnes leveren de Lumma-stealer

Een andere opmerkelijke campagne betrof het gebruik van GitHub-repositories die zich voordeden als bronnen voor videogamecheats en modificatietools. Deze repositories verspreidden in het geheim Lumma Stealer- malware via .NET-gebaseerde droppers, wat benadrukt hoe aanvallers populaire platforms misbruiken om nietsvermoedende gebruikers te targeten.

Waarom op afbeeldingen gebaseerde aanvallen bedreigend zijn

Het inbedden van malware in afbeeldingen is een techniek die bekend staat als steganografie, die schadelijke code verbergt in ogenschijnlijk onschuldige bestanden. Deze methode omzeilt veel antivirussystemen, die minder snel afbeeldingsbestanden onderzoeken. Het gebruik van vertrouwde hostingplatforms zoals Archive.org compliceert detectie-inspanningen nog verder.

Mitigatiestrategieën voor organisaties

Om zich te verdedigen tegen deze evoluerende bedreigingen, moeten organisaties de volgende maatregelen implementeren:

  1. Bekende kwetsbaarheden verhelpen : verhelp kwetsbaarheden in verouderde software, zoals CVE-2017-11882.
  2. Geavanceerde bedreigingsdetectie inschakelen : gebruik oplossingen die steganografie en verdacht bestandsgedrag kunnen detecteren.
  3. Informeer medewerkers : train medewerkers om phishing-e-mails te herkennen en te voorkomen dat ze onverwachte bijlagen openen.
  4. Beperk de toegang tot vertrouwde bronnen : beperk het gebruik van bestandsdelingsplatforms tot goedgekeurde domeinen.

De groeiende commodificatie van cybercriminaliteit

Naarmate malwarekits toegankelijker worden, kunnen aanvallers van alle niveaus effectieve infectieketens samenstellen. De integratie van AI-tools in malwarecreatie vergroot de uitdaging voor cybersecurityverdedigers verder, waardoor aanvallen gevarieerder en moeilijker toe te schrijven zijn.

De bevindingen van HP Wolf Security onderstrepen de urgentie om deze evoluerende bedreigingen voor te blijven. Door proactieve verdedigingsstrategieën te implementeren en opkomende tactieken te monitoren, kunnen organisaties hun netwerken beter beschermen tegen deze geavanceerde campagnes.


Bezig met laden...