Aanvallers die slachtoffers willen misleiden via een phishing-mail, gebruiken volgens onderzoek het vaakst macro’s in Office-documenten om hun malafide code af te leveren. Ook PowerShell blijft verantwoordelijk voor veel kwetsbaarheden.
Phishing is de meest geliefde aanvalsvector voor hackers. Aanvallers die een systeem willen kapen, gebruiken vaak phishing-emails om een doelwit te overtuigen om gevoelige informatie zoals een wachtwoord in te geven, of kwaadaardige code te draaien. Is het hoofddoel van de hacker om zijn eigen code op het systeem van een slachtoffer te krijgen, dan zijn macro’s nog steeds een populaire tool.
Macro’s
Dat blijkt uit onderzoek van beveiligingsspecialist Proofpoint. Uit de analyse van miljarden e-mails blijkt dat criminelen vertrouwen op een veelvoud aan aanvalstechniek maar macro’s binnen Office springen eruit als kampioen. In net geen negen procent van de phishing-aanvallen probeert een hacker via zo’n macro de pc van een gebruiker te compromitteren.
Macro’s zijn een soort ingebouwde programmeertaal binnen Microsoft Office waarmee gebruikers functies kunnen automatiseren. Kort door de bocht geven ze een Word- of Exceldocument de macht van een uitvoerbaar bestand met bijvoorbeeld een .exe-extensie. Om succesvol te zijn, moet een aanvaller niet alleen iemand overtuigen om het bijgevoegde document te openen, het slachtoffer moet eveneens manueel macro’s activeren en de waarschuwing van Microsoft over eventuele risico’s negeren.
Andere vectoren
Powershell is een andere populaire vector gelinkt aan phishing. In iets meer dan drie procent van de gevallen probeert een aanvaller via Powershell code te draaien. Een dergelijke aanval loopt doorgaans via een url in de phishing-mail. Wie daarop klikt, komt op een pagina terecht met code het systeem van een gebruiker probeert over te nemen. De detectie van dergelijke aanvallen is volgens Proofpoint complex aangezien de mail zelf geen malware bevat en de website in kwestie beroep doet op een legitieme Windows-functie.
De beveiligingsspecialist merkt verder op dat cybercriminelen steeds beter worden in het vermommen van hun malware. Zo bevat bijna vijf procent van de geanalyseerde mails malware die aan sandbox evasion doen. Dat betekent dat de malware geavanceerde beschermingstools om de tuin probeert te leiden. Dergelijke tools gebruiken een geïsoleerde sandboxomgeving om bestanden uit te voeren en zo vast te stellen of het al dan niet om malware gaat, voordat een gebruiker toegang krijgt tot het bestand. Malware wordt echter steeds slimmer en kan dergelijke sandboxes soms detecteren. Door aangepast gedrag te vertonen tijdens de sandbox-test, glipt gevaarlijke code zo toch door de mazen van het net.
Versleuteling als vermomming
Aanvallers kunnen ook beroep doen op eenvoudigere technieken om hun malware in een mail te verstoppen. In iets meer dan twee procent van de bestudeerde mails versleutelden de aanvallers hun payload met een wachtwoord. Dat maakt de automatische analyse van de code binnenin complex. De keerzijde daarvan is dat de aanvaller zijn slachtoffer via social engineering moet overtuigen om het juiste wachtwoord in te geven en zo de malware vrij te laten.
lees ook
20 procent werknemers klikt op phishing-mails
Uit het onderzoek blijkt phishing in heel veel smaken bestaat. Criminelen gebruiken mails als vector om op tal van verschillende manieren gevoelige gegevens te stelen of eigen code te injecteren. Oppassen is de boodschap. Wat macro’s betreft is het advies heel eenvoudig: activeer ze nooit ofte nimmer tenzij je heel zeker bent dat het bestand van een betrouwbare bron komt. Zelfs wanneer een vertrouwde collega je een document met een macro doorstuurt, zouden we aanraden om even de telefoon vast te nemen en te verifiëren dat het wel degelijk een goed idee is om de macro uit te voeren.