Key Takeaways
- Penyerang di balik malware pencuri sandi menggunakan metode inovatif untuk membuat orang membuka email berbahaya.
- Penyerang menggunakan kotak masuk kontak yang diretas untuk memasukkan lampiran yang sarat malware ke dalam percakapan email yang sedang berlangsung.
-
Peneliti keamanan menyarankan serangan tersebut menggarisbawahi fakta bahwa orang tidak boleh membuka lampiran secara membabi buta, bahkan lampiran dari kontak yang dikenal.
Ini mungkin tampak aneh ketika teman Anda masuk ke percakapan email dengan lampiran yang setengah Anda harapkan, tetapi meragukan keabsahan pesan dapat menyelamatkan Anda dari malware berbahaya.
Sleuth keamanan di Zscaler telah membagikan detail tentang aktor ancaman yang menggunakan metode baru dalam upaya untuk menghindari deteksi, untuk mengedarkan malware pencuri kata sandi yang disebut Qakbot. Peneliti keamanan siber terkejut dengan serangan tersebut tetapi tidak terkejut dengan penyerang yang menyempurnakan teknik mereka.
"Penjahat dunia maya terus memperbarui serangan mereka untuk mencoba menghindari deteksi dan, pada akhirnya, mencapai tujuan mereka," Jack Chapman, Wakil Presiden Intelijen Ancaman di Egress, mengatakan kepada Lifewire melalui email. "Jadi meskipun kita tidak tahu secara spesifik apa yang akan mereka coba selanjutnya, kita tahu akan selalu ada waktu berikutnya, dan serangan itu terus berkembang."
Friendly Neighborhood Hacker
Dalam postingannya, Zscaler menjalankan berbagai teknik penyamaran yang digunakan penyerang untuk membuat korban membuka email mereka.
Ini termasuk menggunakan nama file yang menarik dengan format umum, seperti. ZIP, untuk mengelabui korban agar mengunduh lampiran berbahaya.
Mengaburkan malware telah menjadi taktik populer selama bertahun-tahun sekarang, Chapman berbagi, mengatakan mereka telah melihat serangan tersembunyi di berbagai jenis file yang berbeda, termasuk PDF dan setiap jenis dokumen Microsoft Office.
"Serangan siber yang canggih dirancang untuk memiliki peluang terbaik untuk mencapai target mereka," kata Chapman.
Menariknya, Zscaler mencatat lampiran berbahaya dimasukkan sebagai balasan di utas email aktif. Sekali lagi Chapman tidak terkejut dengan rekayasa sosial canggih yang berperan dalam serangan ini. "Setelah serangan mencapai target, penjahat dunia maya membutuhkan mereka untuk mengambil tindakan - dalam hal ini, untuk membuka lampiran email," Chapman berbagi.
Keegan Keplinger, Pimpinan Riset dan Pelaporan di eSentire, yang mendeteksi dan memblokir selusin insiden kampanye Qakbot pada bulan Juni saja, juga menunjukkan penggunaan kotak masuk email yang disusupi sebagai sorotan serangan.
"Pendekatan Qakbot melewati pemeriksaan kepercayaan manusia, dan pengguna lebih cenderung mengunduh dan menjalankan muatan, mengira itu dari sumber tepercaya, " kata Keplinger kepada Lifewire melalui email.
Adrien Gendre, Chief Tech and Product Officer di Vade Secure, menunjukkan bahwa teknik ini juga digunakan dalam serangan Emotet tahun 2021.
"Pengguna biasanya dilatih untuk mencari alamat email palsu, tetapi dalam kasus seperti ini, memeriksa alamat pengirim tidak akan membantu karena itu adalah alamat yang sah, meskipun dikompromikan, " kata Gendre kepada Lifewire dalam sebuah diskusi email.
Keingintahuan Membunuh Kucing
Chapman mengatakan bahwa selain mengambil keuntungan dari hubungan yang sudah ada sebelumnya dan kepercayaan yang dibangun antara orang-orang yang terlibat, penggunaan tipe dan ekstensi file umum oleh penyerang membuat penerima menjadi kurang curiga dan lebih cenderung membuka lampiran ini.
Paul Baird, Chief Technical Security Officer UK di Qualys, mencatat bahwa meskipun teknologi harus memblokir jenis serangan ini, beberapa akan selalu lolos. Dia menyarankan agar orang-orang tetap waspada terhadap ancaman saat ini dalam bahasa yang mereka pahami adalah satu-satunya cara untuk mengekang penyebarannya.
"Pengguna harus berhati-hati, dan dilatih, bahwa bahkan alamat email tepercaya dapat berbahaya jika disusupi," Gendre menyetujui. "Ini terutama benar ketika email menyertakan tautan atau lampiran."
Gendre menyarankan agar orang-orang membaca email mereka dengan cermat untuk memastikan bahwa pengirim adalah orang yang mereka klaim. Dia menunjukkan bahwa email yang dikirim dari akun yang disusupi seringkali pendek dan langsung ke intinya dengan permintaan yang sangat blak-blakan, yang merupakan alasan bagus untuk menandai email tersebut sebagai mencurigakan.
Selain itu, Baird menunjukkan bahwa email yang dikirim oleh Qakbot biasanya akan ditulis secara berbeda jika dibandingkan dengan percakapan yang biasanya Anda lakukan dengan kontak Anda, yang seharusnya berfungsi sebagai tanda peringatan lainnya. Sebelum berinteraksi dengan lampiran apa pun dalam email yang mencurigakan, Baird menyarankan agar Anda terhubung dengan kontak menggunakan saluran terpisah untuk memverifikasi keaslian pesan.
"Jika Anda mendapatkan email [dengan] file yang tidak diharapkan, maka jangan melihatnya, " adalah saran sederhana Baird. "Ungkapan 'Keingintahuan membunuh kucing' berlaku untuk apa pun yang Anda dapatkan melalui email."