Hoe antispamsoftware en bescherming tegen ransomware met elkaar in verband staan

In juni 2021 bracht Microsoft een nieuwe functie uit in de Windows-winkel genaamd de App Installer, waarmee gebruikers Windows 10-apps konden installeren vanaf een webpagina. Helaas heeft een bedreigingsactor die bekend staat om de verspreiding van Trickbot en BazarLoader, die spam leveren die vaak resulteert in ransomware-aanvallen, deze functie misbruikt. Dit is opnieuw een voorbeeld van het belang van bijgewerkte e-mailantispamsoftware om ransomware-aanvallen te helpen voorkomen.

Trickbot werd voor het eerst gezien in 2016, en is grotendeels gebruikt om financiële bedrijven te targeten; BazarLoader is in wezen een spin-off van Trickbot om kwaadaardige payloads af te leveren via Microsoft- en JavaScript-bijlagen in spam-e-mails die onopgemerkt blijven totdat ze worden geactiveerd. Beide zijn gericht op het stelen van bankgegevens, PII (persoonlijk identificeerbare informatie), en/of gebruikersgegevens.

De bedreiger achter Trickbot en BazarLoader staat erom bekend dat hij toegang die hij van gecompromitteerde netwerken heeft verkregen, verkoopt aan derden die het gebruiken voor ransomware. Het gebruik van sideloading om de schadelijke payload te laden is een nieuwe benadering van een bedreigingslandschap dat voortdurend in ontwikkeling is.

Hoe de Sideloading bedreiging werkt

Een spam e-mail verleidt gebruikers te klikken op wat een legitieme link lijkt te zijn. De e-mail betreft een klacht van een klant waarin de volledige naam van de klant wordt genoemd, met verdere details in de gelinkte PDF. De bedoeling is natuurlijk om een gevoel van urgentie te creëren om de klacht te ontrafelen. En de snelste manier om daar achter te komen is op de link te klikken en het rapport te downloaden.

Merk op dat de inhoud van de e-mail grammaticaal onhandig is en een spelfout bevat ("Haar" in plaats van "Hier"), een zeker teken dat het hier mogelijk om spam gaat. Maar als gebruikers in paniek zijn omdat er zogenaamd een klacht tegen hen is ingediend, lezen ze de e-mail misschien niet zorgvuldig. (Dit is waarom effectieve antispam software zo belangrijk is - het zou de kwaadaardige inhoud hebben gevangen).

De link ziet er legitiem uit. Maar in plaats van het rapport te downloaden, gebruikt de malware sideloading om de Windows App store webpagina te omzeilen en malware te installeren. De gebruiker klikt op het rapport en denkt dat hij het PDF-rapport wil downloaden. In plaats daarvan wordt de link omgeleid naar een webpagina waar er een probleem lijkt te zijn en wordt de gebruiker gevraagd om opnieuw te proberen te downloaden.

Sideloaden van kwaadaardige code

In plaats van het rapport te downloaden, worden gebruikers in de waan gelaten dat ze een app nodig hebben om het rapport te bekijken. Het lijkt eerlijk, maar dat is het niet.

Wanneer gebruikers op Installeren klikken, downloaden ze een app-bundel die door Windows 10 wordt gebruikt; het probleem is dat die bundel de malware bevat.

Mimecast Threat Center merkte op dat deze campagne meer dan 16.000 keer is gezien in verschillende landen, waaronder de VS, het VK, Duitsland, Australië en Zuid-Afrika.

Verdedigen tegen Sideloading

Vanaf Windows 10 2014, zet Microsoft sideloading standaard aan . Organisaties kunnen de functie uitschakelen, maar verliezen dan wel de mogelijkheid om eenvoudig apps te downloaden die niet beschikbaar zijn in de Window app store en die zijn ontworpen voor functies die uniek zijn voor hun bedrijf.

Ongeacht of een organisatie ervoor kiest om sideloading toe te staan, de eerste verdedigingslinie tegen voortdurend evoluerende bedreigingen zoals deze is een combinatie van effectieve antispamsoftware en training om gebruikers bewust te maken. Meerlaagse e-mailbeveiligingsstrategie levert de doeltreffendheid die nodig is om uw bedrijf, informatie en gebruikers veilig te houden. Het scannen van e-mails en het in quarantaine plaatsen van verdachte inhoud helpt spam te voorkomen die leidt tot ransomware-aanvallen.

Bovendien maakt training in gebruikersbewustzijn werknemers attent op de belangrijkste kenmerken van spam om een "denk na voordat je klikt"-mentaliteit bij te brengen. In dit voorbeeld zou een cyberbewuste werknemer onmiddellijk een e-mail met spelfouten en onhandige grammatica wantrouwen.

De kern van de zaak

Cybercriminelen zijn voortdurend op zoek naar nieuwe zwakke plekken om gebruikers uit te buiten. Dit sideloaden is slechts het meest recente voorbeeld. Volgens het Threat Center van Mimecast is dit een nieuwe draai aan soortgelijke malwarepogingen die zich voordoen als een Windows-toepassing - een bijzonder gevaarlijke draai die zeker zal worden nagebootst door andere bedreigingsactoren. De beste verdediging is een effectieve antispambeveiliging voor e-mail die is bijgewerkt met de nieuwste informatie over bedreigingen, in combinatie met een cultuur van 'denk na voordat je klikt' door middel van voortdurende bewustmakingstraining voor gebruikers.