HP: ChromeLoader-malwarecampagne straft illegale gebruikers

HP Wolf Security heeft specifiek inzicht in de nieuwste technieken die gebruikt worden door cybercriminelen. Dit wordt verkregen door bedreigingen die netwerkbeveiligingen op computers hebben ontweken, te isoleren. Tot nu toe hebben klanten van HP Wolf Security op meer dan 30 miljard e-mailbijlagen, webpagina's en gedownloade bestanden geklikt zonder dat er inbreuken zijn gemeld.

Op basis van miljoenen endpoints met HP Wolf Security data, hebben onderzoekers het volgende ontdekt:

• De Shampoo Chrome-extensie is moeilijk uit te roeien: Een campagne die de ChromeLoader-malware verspreidt, lokt gebruikers in de val om een schadelijke Chrome-extensie met de naam Shampoo te installeren. Deze Chrome-extentie kan de zoekopdrachten naar schadelijke websites leiden waarmee geld verdient kan worden via advertentiecampagnes. De malware is zeer volhardend en gebruikt ‘Task Scheduler’ om elke 50 minuten opnieuw op te starten.
• Cybercriminelen omzeilen het macrobeleid door vertrouwde domeinen te gebruiken: Hoewel macro’s uitgeschakeld zijn van onbetrouwbare bronnen, zag HP dat cybercriminelen deze controles omzeilden door een vertrouwd Office 365-account aan te vallen. Dit deden zij door een nieuw bedrijfsmailadres aan te maken en een schadelijk Excel-bestand te verspreiden dat slachtoffers met de infostealer Formbook infecteerde.
• Bedrijven moeten blijven oppassen voor gevaren: In OneNote-documenten kunnen bestanden worden bijgevoegd. Cybercriminelen maken hier misbruik van door schadelijke bestanden toe te voegen achter valse "klik hier"-pictogrammen. Als hierop geklikt wordt, wordt malware uitgevoerd waarmee cybercriminelen toegang krijgen tot de gebruikersomgeving van de gebruiker. Deze toegang kan vervolgens worden doorverkocht aan andere criminele groepen en ransomwarebendes.

Geavanceerde groepen zoals Qakbot en IcedID hebben in januari voor het eerst malware in OneNote-bestanden geplaatst. Het lijkt erop dat hun malwarecampagnes de komende maanden zullen aanhouden, want OneNote-kits zijn beschikbaar op criminele digitale marktplaatsen. Het gebruik ervan vereist weinig technische kennis.

"Om je te beschermen tegen de nieuwste bedreigingen, adviseren we gebruikers en bedrijven om het downloaden van bestanden van onbetrouwbare sites te vermijden. Werknemers moeten op hun hoede zijn voor verdachte documenten en de afzender controleren voordat ze deze documenten openen. Organisaties moeten ook beleidsregels voor e-mailgateways en beveiligingstools configureren om OneNote-bestanden van onbekende externe bronnen te blokkeren," legt Patrick Schläpfer, Malware Analist bij het HP Wolf Security threat researchteam, HP Inc. uit.

Het rapport laat ook zien dat criminele groepen hun aanvalsmethoden blijven aanpassen om e-mailgateways te omzeilen, nu threat actoren Office-indelingen de rug toekeren.

De belangrijkste bevindingen zijn onder andere:

• Archieven waren het populairste type malware (42%) voor het vierde kwartaal op rij bij onderzoek naar bedreigingen die in Q1 werden tegengehouden door HP Wolf Security.
• Er was een stijging van 37 procent in HTML-smokkelbedreigingen in Q1 ten opzichte van Q4.
• Er was een stijging van 4 procent in PDF-bedreigingen in Q1 ten opzichte van Q4.
• Er was een daling van 6 procent in Excel-malware (19% naar 13%) in Q1 ten opzichte van Q4, omdat het moeilijker is geworden om macro's in dit formaat uit te voeren.
• 14% van de e-mailbedreigingen die door HP Sure Click werden geïdentificeerd, omzeilden een of meer e-mailgatewayscanners in Q1 2023.
• De belangrijkste bedreigingsvector in Q1 was e-mail (80%), gevolgd door browserdownloads (13%).

"Om zich te beschermen tegen de verschillende aanvallen, moeten organisaties zero trust-principes volgen om risicovolle activiteiten, zoals het openen van e-mailbijlagen, het klikken op links of het downloaden van browsers te isoleren en te verminderen. Dit verkleint het aanvalsoppervlak en het risico op een inbreuk aanzienlijk," zegt Dr. Ian Pratt, Global Head of Security for Personal Systems, HP Inc.

HP Wolf Security voert risicovolle taken, zoals het openen van e-mailbijlagen, het downloaden van bestanden en het klikken op links uit in geïsoleerde micro-virtuele machines (micro-VM's) om gebruikers te beschermen. Het legt ook gedetailleerde sporen vast van pogingen tot infectie. De technologie van HP voor applicatie-isolatie beperkt bedreigingen die mogelijk langs andere beveiligingstools glippen en biedt unieke inzichten in nieuwe inbreukktechnieken en het gedrag van threat actoren.