Cybercriminelen kiezen vaak zeer kleine bedrijven uit als doelwit. Kleine bedrijven geven zelden veel geld uit aan beveiligingssystemen, hebben vaak niet eens een IT-specialist, en belangrijker nog: het is waarschijnlijker dat ze vanaf slechts één of twee computers werken, wat het makkelijker maakt om een doelwit te kiezen dat de informatie bevat waar cybercriminelen normaal gesproken naar op zoek zijn. Onlangs detecteerden onze technologieën opnieuw een aanval die gericht was op kleine online winkels. Aanvallers, die gebruikmaakten van social engineering, probeerden de eigenaars van zulke bedrijven te dwingen om schadelijks scripts op hun computers te draaien.
Social engineering
Het interessantste aspect van deze aanval is de truc waarmee de aanvallers de werknemers van een winkel overhalen om een schadelijk bestand te downloaden en te openen. Ze doen zich als klant voor en versturen een e-mail waarin staat dat ze al betaald hebben voor een bestelling, maar deze niet ontvangen hebben. Ze beweren dat er problemen waren bij het postkantoor en vragen de winkel om een document op te stellen met de details van de bestelling (informatie van afzender, trackingnummer, enzovoorts). Zou een fatsoenlijk ondernemer zo’n brief negeren?
De brief, in matig maar begrijpelijk Engels, bevat een link naar een object dat op Google Docs wordt gehost. Door op de link te klikken begint de download van een archief, dat natuurlijk een schadelijk bestand bevat, in dit geval een bestand met een .xlsx-extensie.
Vanuit een technisch oogpunt
De aanval is simpel maar effectief. Ten eerste is het duidelijk geen massamail, want de tekst van het bericht is specifiek geschreven voor online winkels en hoogstwaarschijnlijk naar een gepaste lijst van contacten gestuurd. Ten tweede bevat het niets schadelijks. Het zijn simpelweg aan paar paragrafen met tekst en een link naar een legitieme dienst. Automatische e-mailfilters zullen zo’n bericht waarschijnlijk niet weren. Het is geen spam of phishing, en belangrijker nog: het bevat geen schadelijke bijlages.
Het .xlsx-bestand bevat een script dat een uitvoerbaar bestand van een remote service downloadt en uitvoert: de Trojan DanaBot, al sinds mei 2018 bij ons bekend. Deze malware heeft een modulaire structuur en kan aanvullende plug-ins downloaden die het in staat stellen om verkeer te onderscheppen en wachtwoorden en zelfs cryptowallets te stelen. Op het moment van dit schrijven staat het in de top 10 banking malware-families (volgens de statistieken voor het derde kwartaal van 2019).
De doelwitten van deze aanval zijn erg kleine winkels, dus het is erg waarschijnlijk dat de geïnfecteerde computer waarop de werknemer e-mail leest ook de hoofdcomputer is voor het uitvoeren van banktransacties. In andere woorden: het bevat de informatie waar aanvallers op uit zijn.
Hoe blijf je beschermd?
Gebruik allereerst een betrouwbaar beveiligingssysteem. Onze beveiligingstechnologieën identificeerden niet alleen DanaBot (als Trojan-Banker.Win32.Danabot), maar ook register-scripts die deze Trojan downloaden met het heuristische verdict HEUR:Trojan.Script.Generic. Daardoor kunnen computers die gebruikmaken van Kaspersky-oplossingen zo’n aanval al verijdelen voordat de Trojan zelfs op de machine wordt gedownload.
Daarnaast is het belangrijk om veelgebruikte programma’s tijdig te updaten. Updates voor besturingssystemen en office suites moeten de hoogste prioriteit krijgen. Aanvallers gebruiken vaak kwetsbaarheden in dat soort software voor het verspreiden van malware.
Voor kleine bedrijven raden we het gebruik van Kaspersky Small Office Security aan. Hier zijn geen speciale managementvaardigheden voor vereist, het beschermt u op betrouwbare wijze tegen Trojans en het controleert ook de versies van veelgebruikte applicaties van derden.