Wanneer een gesprek over diefstal van inloggegevens gaat, komen e-mailberichten met phishing-links meestal als eerste ter sprake. Maar die berichten vertegenwoordigen slechts één manier voor het verkrijgen van gebruikersnamen en wachtwoorden voor verschillende online diensten. Scammers e-mailen ook nog altijd regelmatig links naar spyware. Een van de trucs die ze gebruiken om die links te verbergen, is het bijvoegen van een afbeelding die een bijlage lijkt te zijn.
E-mail met een schadelijke link
Vandaag kijken we naar een gerichte e-mailaanval. De cybercriminelen in kwestie lieten hun e-mail er geloofwaardig uitzien door een RFQ (request for quotation) te sturen naar een leverancier van industriële diensten en apparatuur, met als bijlage de richtlijnen.
Industriële bedrijven ontvangen vrij vaak dergelijke verzoeken, en accountmanagers zullen normaal gesproken het document met de richtlijnen openen en een voorstel voorbereiden, waarbij ze kleine discrepanties, zoals verschillen tussen de domeinnaam en de handtekening van de afzender, best over het hoofd kunnen zien. Waar wij in geïnteresseerd zijn is hoe cybercriminelen ontvangers zover krijgen om de malware te draaien. Zo ziet zo’n e-mail eruit:
Ziet u de bijgevoegde pdf? Wat u hier ziet is in werkelijkheid helemaal geen bijlage. Outlook geeft e-mailbijlagen wel op deze manier weer, maar hier zien we een aantal verschillen:
- Het pictogram van de bijlage zou overeen moeten komen met de toepassing die binnen uw systeem met pdf-bestanden is geassocieerd. Als dat niet zo is, is het ofwel geen bijlage, of de bijlage is geen pdf-bestand;
- De details van het bestand (naam, type, grootte) zouden zichtbaar moeten worden als u met de muis over een echte bijlage beweegt. U zou niet in plaats daarvan een link naar een bedenkelijke website moeten zien;
- Het pijltje naast de bestandsnaam zou gemarkeerd moeten zijn en als een knop moeten werken die een contextmenu weergeeft;
- De bijlage zou in een apart blok moeten verschijnen zoals u hieronder ziet, niet in de tekst van de e-mail zelf.
Dit object, vermomd is als een pdf-bijlage, is in werkelijkheid een gewone afbeelding. Als u probeert om delen van het bericht met uw muis te selecteren of als u Ctrl-A gebruikt om alles te selecteren, wordt dat gelijk duidelijk.
De afbeelding verbergt een hyperlink naar een schadelijk programma. Door op de link te klikken, wordt er een spyware-trojan gedownload.
Aanvalslading
In dit specifieke geval verwijst de schadelijke link naar een bestand met de naam Swift_Banco_Unicredit_Wire_sepa_export_000937499223.cab, dat een loader bevat voor een trojan die Kaspersky identificeert als Trojan-Spy.Win32.Noon, een redelijk veel voorkomende spyware-trojan. Deze trojan is al sinds 2017 bekend en stelt aanvallers in staat om wachtwoorden en andere informatie uit invoerformulieren te stelen.
Zo blijft u veilig
Om te voorkomen dat spyware-trojans uw bedrijf treffen, dient u een betrouwbare beveiligingsoplossing te installeren op elk apparaat met toegang tot het internet, om zo te vermijden dat er malware gestart wordt.
Daarnaast moet u uw werknemers trainen zodat ze trucs van cybercriminelen in e-mails snel detecteren.