Coronavirus als lokmiddel

We vertellen hoe de situatie rond het coronavirus door phishers wordt benut om bedrijven aan te vallen en malware te installeren.

E-mails die zakelijke correspondentie nabootsen en schadelijke bijlages bevatten zijn niets nieuws onder de zon. We zien dit soort e-mails al minstens drie jaar lang in de ongewenste post verschijnen. Hoe preciezer de nep-e-mail, hoe waarschijnlijker het is dat het slachtoffer niets doorheeft.

Dit soort phishing is vooral gevaarlijk voor werknemers van bedrijven die goederen verkopen, want e-mails met leveringsverzoeken of bestellingen zijn daar dagelijkse kost. Zelfs voor iemand die is getraind om nep-e-mails te herkennen kan het soms lastig zijn om te bepalen of een bericht phishing is of een legitieme bestelling van een klant. Daardoor blijft het aantal overtuigende maar neppe e-mails constant groeien. Ze komen niet zo vaak voor als traditionele schadelijke spam, maar dat komt omdat ze voor een specifiek doel zijn ontworpen en dus ook naar gerichte adressen worden verzonden.

De afgelopen weken hebben scammers gebruik gemaakt van de uitbraak van het coronavirus om hun berichten extra geloofwaardigheid te geven. De e-mails gaan vaak over corona-gerelateerde leveringsproblemen, waardoor de ontvanger ervan zich afvraagt over welke levering ze het hebben. In andere gevallen gebruiken de aanvallers de pandemie om erop aan te dringen dat een verzoek snel afgehandeld wordt, omdat hun gebruikelijke partners de goederen niet op tijd kunnen leveren. Hoe dan ook, het doel is om het slachtoffer een schadelijke bijlage te laten openen. Er worden standaardtrucs als voorwendsel gebruikt, en normaal gesproken gaat het daarbij om een verzoek om de leveringsdetails, betaalgegevens, een bestelling of de beschikbaarheid van een product te controleren.

Uitgestelde levering

De scammers schreven dat een bepaalde levering moest worden uitgesteld en dat dit te wijten was aan COVID-19. Ze sturen hierbij een bijlage met de geactualiseerde leveringsinformatie, samen met nieuwe instructies. Ze vragen in het bijzonder of de nieuwe levertijd goed uitkomt, waardoor de ontvanger de bijlage dus opent om dat na te gaan. En die bijlage ziet er op het eerste gezicht uit als een factuur in pdf-formaat.


Maar in plaats van een factuur zit er in plaats daarvan een NSIS installer in die een schadelijk script uitvoert. Het script begint vervolgens met een standaard cmd.exe-proces en zo wordt de schadelijke code uitgevoerd. Op die manier wordt de code uitgevoerd in de context van een legitiem proces en omzeilt het de gebruikelijke verdedigingsmechanismes. Het uiteindelijk doel is om de acties van de gebruiker te kunnen bespioneren. Onze e-mailbeveiligingsproducten detecteerden deze dreiging als Trojan-Spy.Win32.Noon.gen.

Spoedbestelling

De scammers beweren dat hun Chinese leverancier vanwege de coronavirus-uitbraak hun verplichtingen niet kan nakomen. Het klinkt overtuigend genoeg in de huidige omstandigheden. Om teleurgestelde klanten te voorkomen willen ze zogenaamd een dringende bestelling voor bepaalde goederen plaatsen (de goederen worden niet gespecificeerd in het bericht) bij het bedrijf waar de ontvanger werkzaam is. Welk bedrijf kan zo’n plotselinge kans weerstaan?

En het is geen verrassing dat de bijlage helemaal geen bestelling bevat, maar Backdoor.MSIL.NanoBot.baxo. Als dit bestand wordt geopend, voert het schadelijke code uit binnen het legitieme RegAsm.exe-proces (opnieuw een poging om de verdedigingsmechanismes te omzeilen). Hierdoor krijgen de aanvallers op afstand toegang tot de computer van het slachtoffer.

Nog een spoedbestelling

Dit is een variant van de bovenstaande truc. De scammer beweert opnieuw dat een fictieve Chinese partner leveringsproblemen kent, en vraagt nu om de prijsstelling en leveringsvoorwaarden voor de goederen die in een doc-bestand in de bijlage zijn vermeld.

Er wordt hier met een bepaalde reden een doc-bestand gebruikt. Dit bestand bevat een exploit die het op de CVE-2017-11882-kwetsbaarheid in Microsoft Word gericht heeft (onze systemen detecteren dit als Exploit.MSOffice.Generic). Eenmaal geopend downloadt het Backdoor.MSIL.Androm.gen en wordt dit uitgevoerd. Het doel hiervan, zoals bij alle backdoors, is om op afstand toegang te verkrijgen tot het geïnfecteerde systeem.

Geen tijd te verliezen!

Deze truc is gericht op bedrijven die te maken hebben met verstoringen van de workflow vanwege de coronavirus-pandemie (een grote groep bedrijven die maar blijft groeien). De scammers dringen er bij de ontvanger op aan om actie te ondernemen, en drukken daarbij tevens de hoop uit dat het bedrijf hun werkzaamheden kan hervatten na coronacrisis.

In plaats van een bestelling bevat de bijlage Trojan.Win32.Vebzenpak.ern. Eenmaal geopend voert dit schadelijke code uit binnen het legitieme RegAsm.exe-proces. Het doel is om aanvallers op afstand toegang te bieden tot de geïnfecteerde machine.

Hoe beschermt u zich tegen schadelijke e-mailbijlages.

Om te voorkomen dat cybercriminelen u infecteren met een trojan of backdoor in de vorm van een bijlage dient u deze tips te volgen:

  • Controleer zorgvuldig de extensies van bijgevoegde bestanden. Als het een uitvoerbaar bestand is, dan is de kans dat het bestand onveilig is bijna 100%.
  • Controleer of het bedrijf van de afzender ook daadwerkelijk bestaat. Tegenwoordig hebben zelfs de kleinste bedrijven een online voetafdruk (bijvoorbeeld social media-accounts). Als u niets vindt, doe dan niets; het is hoe dan ook waarschijnlijk niet de moeite waard om zaken te doen met zo’n bedrijf.
  • Controleer of de details in het veld van de afzender en de automatische handtekening met elkaar overeenkomen. Gek genoeg zien scammers dit detail vaak over het hoofd.
  • Onthoud dat cybercriminelen informatie over hun “bedrijf” kunnen verkrijgen via open bronnen. Dus als u twijfels heeft ondanks dat de e-mail legitieme informatie lijkt te bevatten, neem dan contact op met het bedrijf om te bevestigen of ze dat bericht inderdaad zelf hebben verzonden.
  • En het belangrijkste is om ervoor te zorgen dat uw bedrijf een betrouwbaar beveiligingssysteem gebruikt op zowel de werkstations als op het niveau van de mailserver. Zorg er ook voor dat dit systeem regelmatig wordt geüpdatet en geactualiseerde databases gebruikt. Als dat niet het geval is, is het moeilijk om te bepalen of een e-mailbijlage schadelijk is, vooral als het om Office-documenten gaat.

 

Tips