Aanvallers gebruiken legitieme hulpmiddelen en bestandsformaten voor verspreiding van malware

Dit blijkt uit het nieuwste Threat Insights Report van HP. Het rapport, gebaseerd op gegevens van miljoenen endpoints met HP Wolf Security, analyseert recente aanvallen en laat zien hoe aanvallers legitieme hulpmiddelen en bestandsformaten misbruiken om malware te verspreiden. Een opvallende trend is het gebruik van meerdere uitvoerbare bestanden binnen één campagne, waardoor het moeilijker wordt om kwaadaardige activiteiten te onderscheiden van legitieme processen. Onderzoekers waarschuwen dat traditionele detectiemethoden hierdoor steeds vaker tekortschieten.

Nieuwe technieken in cyberaanvallen

Het rapport identificeert verschillende campagnes waarbij aanvallers ongebruikelijke methoden inzetten. Denk daarbij aan een campagne waarbij aanvallers een vals Adobe Reader-factuur verspreidden die een reverse shell bevatte, verborgen in een SVG-afbeelding. Het bestand leek op een echt Adobe-document, inclusief een nep-laadbalk, om slachtoffers te misleiden. De aanval was gericht op Duitstalige regio’s, mogelijk om automatische detectiesystemen te ontwijken.

Een ander voorbeeld is het verstoppen van schadelijke code in Microsoft Compiled HTML Help-bestanden, vermomd als projectdocumenten. De XWorm-payload zat verborgen in de pixeldata van afbeeldingen en werd via PowerShell geactiveerd, waarbij sporen werden gewist na uitvoering.

Een derde voorbeeld is Lumma Stealer, een van de meest actieve malwarefamilies in het tweede kwartaal van 2025. Deze malware is verspreid via IMG-archiefbijlagen. Ondanks een politieactie in mei bleven aanvallen doorgaan, met nieuwe domeinen en infrastructuur die werden opgebouwd.

Aanpassingen om detectie te ontlopen

Cybercriminelen passen hun methoden continu aan, onder andere door:

• Regiogerichte aanvallen om automatische scans te vermijden.
• Misbruik van vertrouwde systeemtools (living-off-the-land-technieken).
• Verborgen malware in afbeeldingen en archieven, zoals .rar-bestanden (26% van de gevallen).

Volgens het rapport wisten in het tweede kwartaal van 2025 13% van de e-maildreigingen één of meerdere e-mailgatewayscanners te omzeilen. Archiefbestanden (40%) en uitvoerbare bestanden (35%) waren de meest gebruikte formaten.

Beveiligingsmaatregelen en inzichten

HP Wolf Security isoleert bedreigingen die traditionele detectietools ontwijken, door malware veilig te laten "detoneren" in beveiligde containers. Tot nu toe hebben klanten meer dan 55 miljard e-mailbijlagen, webpagina’s en downloads geopend zonder dat er datalekken zijn gemeld.

Alex Holland, Principal Threat Researcher, HP Security Lab: “Aanvallers vinden niet opnieuw het wiel uit, maar ze verfijnen wel hun technieken. Living-off-the-land, reverse shells en phishing bestaan al tientallen jaren, maar hedendaagse dreigingsactoren scherpen deze methoden verder aan. We zien meer ketening van LOTL-tools en gebruik van minder voor de hand liggende bestandstypen, zoals afbeeldingen, om detectie te ontwijken. Neem reverse shells als voorbeeld – je hoeft geen uitgebreide RAT te plaatsen als een simpel, lichtgewicht script hetzelfde effect bereikt. Het is eenvoudig, snel en glipt vaak onder de radar omdat het zo basaal is.”

Pelle Aardewerk, Cyber Security Consultancy Lead EMEA bij HP: “Living-off-the-land-technieken zijn erg lastig voor beveiligingsteams, omdat het moeilijk is om groene vlaggen van rode te onderscheiden – oftewel legitieme activiteit van een aanval. Beveiligingsteams staan voor een lastige keuze: ofwel strengere beperkingen invoeren, met meer frictie voor gebruikers en extra SOC-tickets tot gevolg, of meer ruimte laten en het risico lopen dat aanvallers binnendringen. Zelfs de beste detectie mist soms dreigingen, dus defense-in-depth met containment en isolatie is essentieel om aanvallen te onderscheppen voordat ze schade kunnen aanrichten.”

Het rapport benadrukt dat organisaties hun beveiligingsstrategieën moeten aanpassen om deze geavanceerde aanvallen te kunnen herkennen en blokkeren. Het onderzoek is gebaseerd op data van april tot juni 2025.

Meer informatie is hier beschikbaar.