Hoe een deur dichtslaan voor het Cutwail Botnet: Handhaaf DMARC

Cutwail werd voor het eerst ontdekt in 2007 en is een groot botnet dat bestaat uit geïnfecteerde Windows-hosts. In 2009 werd vastgesteld dat het Cutwail-botnet het grootste botnet in zijn soort was, gebaseerd op het aantal geïnfecteerde hosts. Cutwail is nog steeds actief en heeft als hoofddoel geïnfecteerde hosts te veranderen in spambots die grote hoeveelheden schadelijke en anderszins ongewenste e-mail kunnen genereren. In het verleden was Cutwail verantwoordelijk voor het verspreiden van bekende malwarefamilies zoals Gozi, URLZone en Dridex.

De afgelopen maanden is Cutwail actiever geworden en heeft het aanvallen via e-mail verstuurd die geladen waren met schadelijke URL's en bijlagen met Excel-bestanden. Deze aanvallen zijn vaak verzonden met spoofing van de domeinen en merken van bekende wereldwijde organisaties, zoals Intuit, UPS, FedEx en ADP. Bekende merken zijn uiterst nuttig, in het bijzonder voor spamdiensten zoals Cutwail, aangezien de overgrote meerderheid van de mensen die ze ontvangen ze op zijn minst zullen herkennen, zo niet er ook regelmatig zaken mee doen, en dus eerder geneigd zullen zijn om de e-mails te vertrouwen en er gebruik van te maken.

Het goede nieuws is dat al deze bedrijven, evenals vele andere, het juiste hebben gedaan om het misbruik van hun online merken via e-mail te stoppen; zij hebben DMARC geïmplementeerd en hebben ook de "p"-waarden van hun DMARC DNS-entries op "reject" gezet. Dit betekent dat elk e-mailbeveiligingssysteem dat deze frauduleuze e-mails ontvangt, in staat zou moeten zijn ze te analyseren en te verwerpen als bedriegers. DMARC implementeren is geen triviaal IT-project, en dus moeten we de domeineigenaars die dit met succes hebben gedaan, lof toezwaaien waar het toekomt.

Het slechte nieuws is dat veel van deze e-mails nog steeds terechtkomen bij de beoogde doelgroepen en dat er blijkbaar actie op wordt ondernomen. Waarom? Helaas dwingen niet genoeg organisaties DMARC af op hun inkomende e-mail en dus valt de DMARC action request flag van "p=reject" op het beveiligingsequivalent van dovemansoren. Dit probleem van gebrek aan DMARC handhaving is niet nieuw. SC Magazine meldde onlangs zelfs dat aanvallen die Microsoft.com spoofen ironisch genoeg werden afgeleverd op bij organisaties die Microsoft 365 als hun e-mailprovider gebruikten. Het is duidelijk dat veel organisaties die Microsoft 365 gebruiken DMARC niet afdwingen, ook al heeft Microsoft Microsoft.com ingesteld op DMARC "reject".

Laten we eens kijken naar een paar recente voorbeelden van de kwaadaardige e-mails die worden verzonden door het Cutwail botnet.

Merk in deze voorbeelden op dat deze door Cutwail gegenereerde e-mails geen gebruik maken van gelijkaardige verzenddomeinen naar UPS en Intuit; Cutwail gebruikt de eigenlijke domeinen van de gespoofde organisaties - intuit.com & ups.com. Cutwail doet dit, in combinatie met de juiste branding en tekst, om de geloofwaardigheid van de e-mail te vergroten en zo de betrokkenheid bij de ontvanger te verbeteren. Daarnaast spelen ook overtuigende e-mailonderwerpen een rol bij het winnen van vertrouwen en betrokkenheid.

Voorbeeld onderwerpen:

• FedEx Facturering Online - Factuur klaar voor betaling
• Uw UPS-factuur is klaar
• ADP Payroll Factuur(s) 04-NOV-2020: 193987187
• FBA inkomende zending vrachtbrief klaar (FBA855RXJZV9)
• Factuur 419665
• Elektronische factuur (#05250943)
• Herinnering: Factuur 625953

Helaas wordt het doelwit bij het beantwoorden van een van deze e-mails beloond met voor het downloaden van de trojan Dridex vanaf een van deze locaties:

hxxp://declareeducation[.]com/zzp9nf57e.zip
hxxp://demo[.]linuxuatwebspiders[.]com/hwlkzsx.zip
hxxp://dekowood-dev[.uzor[.]group/kz70ctm.zip
hxxp://personeels[.]districtweb[.]ca/lqicoh.zip
hxxp://sl-elite[.]net/cuiq5y2.zip
hxxp://testtime[.]emsapps[.]net/raistmat.zip
hxxp://sparkasse[.]africamojatours[.]co[.]za/fcm6rtep.txt
hxxp://organisme[.]districtweb[.]ca/jp3x5s1w.txt
hxxp://e2mblog2[.]linuxuatwebspiders[.]com/iejvut.txt
hxxp://sentable[.]cz/fj5oilayy.txt
hxxp://simplvid[.]xpleomedia[.]com/emkbnc6.txt
hxxp://bary[.]sz4h[.]com/g6g9tu4.gif
hxxp://bancomext[.]demasys[.]net/vj0g4rl.gif
hxxp://officehelp[.]uzor[.]group/pguip0gny.gif
hxxp://businessdebthelper[.]com/yozcw4.pdf
hxxp://cafeplus[.]districtweb[.]ca/g6fb8jcz9.pdf
hxxp://casadosirmaos[.]bitnetbr[.]com/n1c9hq9ps.jpg
hxxp://pc[.]helloconci[.]com/wpbhvi8.jpg
hxxp://metal-test[.]cn/rmjiyy1.jpg
hxxp://bajajclasses[.]com/jw4kb9.jpg
hxxp://chickencode[.]appsdesignstudio[.]com/ihmkigi.jpg
hxxp://ctalk[.]helloconci[.]com/a5goz2s.rar

Met de Dridex trojan geïnstalleerd, hebben de aanvallers veel flexibiliteit over wat er daarna komt. Helaas is onlangs gebleken dat het leveren van ransomware in de volgende fase van de aanval erg populair is.

De kern van de zaak

Hoewel er veel manieren zijn om door Cutwail botnets geïnitieerde aanvallen te stoppen, zoals met veiligheidsbewustzijnstraining om de betrokkenheid van gebruikers aan te pakken en met geavanceerde endpointbescherming om de installatie van de malware te blokkeren, is het bijzonder frustrerend dat een controlemiddel dat specifiek is ontworpen om dit soort phishing moeilijker te maken voor de phisher - DMARC - nog niet op grotere schaal is geïmplementeerd. De domeineigenaren hebben hun deel gedaan, hoe zit het met alle anderen in de wereld van e-mail?

Opmerking: De verdediging van Mimecast namens onze klanten tegen deze door Cutwail gegenereerde e-mails heeft bewezen doeltreffend te zijn.

Primair onderzoek uitgevoerd door Samantha Clarke, Mimecast Threat Research Engineer