door Peter Vos | 22 okt, 2024 | Nieuws |
De wereld van cybercriminaliteit evolueert voortdurend, waarbij hackers steeds verfijndere methoden ontwikkelen om hun kwaadaardige software te verspreiden. Een recente ontdekking toont aan dat CAPTCHA’s, oorspronkelijk ontworpen om bots te blokkeren, nu worden ingezet als aflevermethode voor malware. Deze nieuwe techniek werd voor het eerst opgemerkt in de context van de Lumma Stealer malware, een vorm van schadelijke software die zich richt op het stelen van gevoelige informatie. Het gebruik van CAPTCHA’s als middel om de distributie van malware te verbergen en te versterken, laat zien hoe cybercriminelen bestaande beveiligingssystemen slim weten te misbruiken.
Wat is Lumma Stealer?
Lumma Stealer is een relatief nieuwe, maar krachtige vorm van malware die zich voornamelijk richt op het stelen van gegevens zoals wachtwoorden, creditcardinformatie en cryptocurrency-wallets. De malware, die voor het eerst werd ontdekt in 2022, wordt via verschillende kanalen verspreid, waaronder phishing-e-mails en kwaadaardige downloads. Eenmaal geïnstalleerd op een geïnfecteerde computer, begint Lumma Stealer met het verzamelen van gevoelige gegevens, die vervolgens naar een externe server worden verzonden, waar cybercriminelen er misbruik van kunnen maken.
Wat Lumma Stealer zo gevaarlijk maakt, is niet alleen de geavanceerde technieken die het gebruikt om gegevens te stelen, maar ook de diverse methoden waarmee het zich kan verspreiden. Waar eerdere malware vaak gebruikmaakte van relatief eenvoudige tactieken, zoals het vermommen van een kwaadaardig bestand als een legitiem document, heeft Lumma Stealer een nieuwe stap gezet door CAPTCHA’s te integreren in het distributieproces.
CAPTCHA’s: een ongrijpbare wapen
De meeste internetgebruikers kennen CAPTCHA’s als een beveiligingsmaatregel die hen vraagt een reeks vervormde letters en cijfers te herkennen of specifieke afbeeldingen te selecteren. Deze techniek is bedoeld om geautomatiseerde bots buiten te sluiten en menselijke interactie te bevestigen. Maar in het geval van Lumma Stealer, wordt de CAPTCHA-technologie op een sluwe manier omgedraaid.
Cybercriminelen gebruiken CAPTCHA’s nu als een manier om detectie door geautomatiseerde beveiligingstools te voorkomen. Wanneer een gebruiker op een link klikt om bijvoorbeeld een programma of bestand te downloaden, wordt een CAPTCHA gepresenteerd die de gebruiker moet oplossen voordat de daadwerkelijke download begint. Omdat beveiligingstools vaak geprogrammeerd zijn om verdachte activiteiten te herkennen die automatisch verlopen, werkt de CAPTCHA als een barrière die deze tools buitenspel zet. Alleen wanneer een mens de CAPTCHA oplost, wordt de malware daadwerkelijk gedownload. Dit maakt het voor geautomatiseerde beveiligingssoftware moeilijker om de dreiging te detecteren en te blokkeren, aangezien er menselijke interactie nodig is om de infectie te voltooien.
Hoe werkt de aanval?
In dit specifieke scenario begint de aanval met een phishing-e-mail of een malafide advertentie die de gebruiker verleidt om op een link te klikken. Deze link leidt de gebruiker naar een website waar een CAPTCHA getoond wordt. Zodra de gebruiker de CAPTCHA oplost, wordt het kwaadwillende bestand gedownload en begint de infectie. Het gebruik van een CAPTCHA geeft de aanval een extra laag van legitimiteit, waardoor slachtoffers minder snel vermoeden dat er sprake is van malware.
De onderzoekers van verschillende beveiligingsbedrijven, waaronder Techzine, benadrukken dat deze methode bijzonder vernuftig is. Veel traditionele antivirusprogramma’s en andere beveiligingsoplossingen worden om de tuin geleid omdat de CAPTCHA ervoor zorgt dat de aanval er legitiem uitziet. Dit maakt het voor hackers gemakkelijker om hun malware onopgemerkt te verspreiden en infecties te realiseren.
Verdediging en beveiliging
Hoewel deze nieuwe methode lastig te detecteren is voor veel bestaande beveiligingssystemen, zijn er wel stappen die organisaties en gebruikers kunnen nemen om zich te beschermen. Allereerst is het van cruciaal belang om altijd waakzaam te blijven bij het ontvangen van e-mails van onbekende afzenders of het downloaden van bestanden van niet-vertrouwde websites. Het is ook belangrijk om geavanceerde beveiligingssoftware te gebruiken die niet alleen verdachte bestanden scant, maar ook gedragsanalyses uitvoert om ongewone activiteiten op een systeem te detecteren.
Daarnaast zijn regelmatige updates van software en systemen essentieel om te zorgen dat beveiligingslekken snel worden gedicht. Het gebruik van multi-factor authenticatie (MFA) kan ook helpen om de impact van een potentiële infectie te beperken, omdat het stelen van inloggegevens alleen niet voldoende is om toegang te krijgen tot accounts.
Conclusie
De ontdekking dat CAPTCHA’s nu worden gebruikt voor de verspreiding van Lumma Stealer malware markeert een nieuwe fase in de evolutie van cyberaanvallen. Het laat zien hoe zelfs beveiligingsmechanismen, ontworpen om ons te beschermen, kunnen worden omgebogen voor kwaadaardige doeleinden. Het is een duidelijke herinnering dat cyberdreigingen voortdurend in ontwikkeling zijn, en dat waakzaamheid en sterke beveiligingsmaatregelen cruciaal blijven om ons te beschermen tegen deze steeds geavanceerdere aanvallen.
door Peter Vos | 10 jan, 2022 | Nieuws |
Het opslaan van inloggegevens in de browser vormt een groot beveiligingsrisico voor particulieren en bedrijven. Zo blijkt uit een recent voorbeeld dat de VPN inloggegevens van een medewerker werd gestolen door een RedLine Malware ‘gebruiker’ die de informatie drie maanden later gebruikte om het bedrijfsnetwerk te hacken. Ondanks dat er op de geïnfecteerde computer malware software was geïnstalleerd werd de aanval niet gedetecteerd en kon deze dus niet voorkomen worden.
RedLine malware
RedLine-malware is gericht op het stelen van informatie uit populaire webbrowsers zoals Chrome, Edge en Opera. Deze malware toont aan dat het opslaan van wachtwoorden in browser een bijzonder slecht idee is. Voor ongeveer 200 dollar kan deze malware worden aangeschaft op forums en kan deze software worden ingezet zonder veel technische kennis en inspanning. De malware richt zich op het ‘Login Data’-bestand dat te vinden is in alle Chromium-gebaseerde webbrowsers en is een SQLite-database waarin gebruikersnamen en wachtwoorden worden opgeslagen. Zeer zorgelijk is de stijgende populariteit van bijvoorbeeld ‘2easy’ darkweb marktplaats, waar de helft van alle verkochte data werd gestolen met behulp van deze RedLine malware.
Hoewel de wachtwoordarchieven in de browser zijn versleuteld, kan malware deze informatie decoderen zolang ze maar is ingelogd als dezelfde gebruiker. Aangezien RedLine wordt uitgevoerd als de geïnfecteerde gebruiker, kan het de wachtwoorden uit hun browserprofiel halen.
Hoe dan wel omgaan met wachtwoorden?
Hoewel het verleidelijk is en handig lijkt om inloggegevens in de webbrowser op te slaan, is dit erg riskant. Zelfs als er geen malware infecties op de computer staan. Door dit te doen, kan een lokale of externe actor met toegang tot uw machine binnen enkele minuten al uw wachtwoorden stelen. In plaats daarvan is het het beste om een speciale wachtwoordbeheerder te gebruiken die alles opslaat in een gecodeerde kluis en het hoofdwachtwoord vraagt om het te ontgrendelen. Voorbeelden hiervan zijn 1Password, Keeper, Roboform en Nordpass. Bovendien moet u specifieke regels configureren voor gevoelige websites, zoals portals voor e-banking of webpagina’s met bedrijfsactiva, waarvoor handmatige invoer van referenties vereist is.
Gebruik voor zover mogelijk altijd multi-factor authenticatie, aangezien deze extra stap u kan behoeden voor accountovername-incidenten, zelfs als uw inloggegevens zijn gecompromitteerd.
door Peter Vos | 23 feb, 2021 | Blog |
Door de COVID019 pandemie zijn we allemaal massaal thuis gaan werken. Gelukkig voor vele bedrijven en medewerkers dat we door cloudtoepassingen als Microsoft 365 en online bedrijfsapplicaties ‘gewoon’ door kunnen werken. Toch liggen er nieuwe gevaren op de loer omdat de bescherming thuis nou eenmaal anders is dan op kantoor. Een kans voor cybercriminelen.
Nu werknemers onbekende tools en processen gebruiken en onderhevig zijn aan nieuwe afleidingen en ‘corona-angsten’, is de kans om het slachtoffer te worden van phishing-scam aanzienlijk toegenomen. Inzicht in de belangrijkste soorten bedreigingen die worden gebruikt om angst en ongerustheid uit te buiten, is de eerste stap naar het nemen van effectieve stappen om uw e-mailbeveiliging te versterken en uw gebruikers, uw gegevens en uw organisatie te beschermen.
1. Malware
Een aantal veel voorkomende soorten malware wordt verspreid via coronavirusgerelateerde phishing. De eerste malware die het coronavirus gebruikte, was Emotet, een populaire banktrojan. LokiBot is een andere modulaire malware, die vaak tot doel heeft inloggegevens en gegevens te stelen en is verspreid in ten minste twee verschillende coronavirus-gerelateerde phishing-campagnes.
2. Oplichting
Oplichting Vierenvijftig procent van de COVID-19-gerelateerde spear phishing-aanvallen waren oplichting. De meesten van hen lijken kuren tegen het coronavirus en gezichtsmaskers te koop aan te bieden, donaties te vragen aan nep-liefdadigheidsinstellingen of te vragen om investeringen in nepbedrijven die beweren vaccins te ontwikkelen.
3. Merkimitatie
Aanvallen die zich voordoen als bekende merken en services vormen ongeveer 34 procent van de COVID-19 spear-phishing-aanvallen. Met name zijn er een aantal aanvallen die zich voordoen als de Wereldgezondheidsorganisatie. Deze phishing-e-mails lijken afkomstig te zijn van de WHO met informatie over COVID-19. Ze gebruiken vaak spoofing-tactieken om gebruikers te laten denken dat deze berichten legitiem zijn. Deze aanvallen op imitatie van e-mail bevatten een link in de hoofdtekst van de e-mail. Gebruikers die op die link klikken, worden naar een nieuw geregistreerde phishing-website geleid.
4. Chantage
Sommige aanvallers gebruiken rauwe emotionele kracht om lezers uit angst of verlegenheid te laten reageren. Met verhoogde angst en angst rond COVID-19 is het niet verwonderlijk dat sommigen die emotie gebruiken bij chantage of afpersingspogingen. Sommige aanvallen hebben bijvoorbeeld gedreigd slachtoffers en hun families te besmetten met coronavirus, tenzij er losgeld werd betaald – en ze beweren geloofwaardig te weten wie je bent, waar je woont, enz.
5. Business Email Compromise (BEC)
De fraudeur doet zich vaak voor als iemand anders. Bijvoorbeeld door een e-mailadres te creëren dat sprekend lijkt op dat van de CEO, of door een bestaand e-mailadres te vervalsen. BEC-aanvallen doen zich meestal voor als een persoon met autoriteit binnen een organisatie om toegang te krijgen tot geld of waardevolle informatie. Tot nu toe vormen COVID-19-gerelateerde BEC-aanvallen ongeveer één procent van de spear-phishing-aanvallen, maar hun aantal groeit snel – aangemoedigd door het grote aantal werknemers dat op afstand werkt. Deze aanvallen hebben de neiging om dringend om snelle betalingen in verband met COVID-19 te vragen, of om frauduleus te adviseren over wijzigingen in betalingsmethoden om geld te stelen.
Drie effectieve manieren om uw organisatie te helpen beschermen:
- Gebruik antiphishing-software om te voorkomen dat kwaadwillende e-mails en ladingen de inbox van uw gebruikers bereiken. Evalueer het risico van spear-phishing met de tool Email Threat Scanner en ontdek verborgen bedreigingen die in uw mailboxen op de loer liggen.
- Blijf uw externe medewerkers opleiden en trainen om hen te helpen het beveiligingsbewustzijn voorop te houden. Stel hen in staat om te letten op COVID-19 phishing-e-mails van organisaties waarmee u niet regelmatig communiceert.
- Maak gebruik van geavanceerde incidentresponstools om incidentrespons te automatiseren en geavanceerde aanvallen snel te herstellen.
Check gratis de kwetsbaarheden in uw 365 bedrijfsaccount
Veruit de meeste bedreigingen in een ICT omgeving worden geinitieerd vanuit de mail. Daarom is het logisch af en toe eens goed te kijken wat er allemaal in uw Microsoft 365 omgeving aan mailbedreigingen zit opgesloten. Samen met Barracuda bieden wij u geheel gratis een scan aan om uw 365 tennant te mailen op voorkomende kwetsbaarheden en bedreigingen. Hiervoor is een admin mailadres en wachtwoord nodig. Onze tip is dan ook om speciaal voor deze scan een admin met superveilig wachtwoord aan te maken, die u na de test weer verwijderd. Wel zo veilig…
door Tony Johnson | 15 aug, 2014 | Nieuws
Anti-virus software en firewalls zorgen ervoor dat uw bedrijfsnetwerk veilig is. Toch blijken deze middelen onvoldoende bescherming te geven tegen Malware (verzamelnaam voor kwaadaardige en/of schadelijke software). Onderstaande grafiek toont het aantal malafide bestanden en het aantal bestanden wat door de virus scanners werd tegengehouden over januari – maart.
In de Lemontree Blueprint omgeving hebben we dan ook gekozen voor een zware bodyguard tegen Malware van Nederlandse bodem.
Realtime analyse
Malware kan ongezien door de gangbare anti-virus en firewall bescherming dringen. Is hij eenmaal binnen uw bedrijf? Dan kan malware lang onontdekt blijven. Door realtime analyse krijgt Malware, die geschreven is om uw firewall en anti virus te ontwijken, geen kans. We sporen Malware snel en effectief op!
Overzicht en actie
Alle Malware in uw netwerkinfrastructuur wordt onmiddellijk opgespoord, maar uiteraard ook direct gerapporteerd. Door real time alle uitgaande verbindingen naar het internet te controleren, zien we 24/7 verdacht verkeer en weten wij precies op welke server, desktop, laptop, tablet en/of smartphone de Malware staat. Dit rapporteren we dan zodat er direct maatregelen kunnen worden getroffen
Privacy niet in het geding
Uiteraard blijft de vertrouwelijkheid van uw netwerk in stand. We kijken naar verdacht gedrag in verkeersstromen en niet in de bedrijfsgegevens. Hierdoor kunt u zonder in te boeten aan privacy ervoor zorgen dat uw netwerk veiliger en betrouwbaarder is en u voldoet aan compliancyregels.
Geen impact op stabiliteit en snelheid
Bij het opsporen van Malware beïnvloeden wij de werking van uw netwerk niet. Er is dus geen negatieve invloed op de snelheid van het netwerk. Ook blijft de bandbreedte van internet volledig intact.
Future proof
De Malware oplossing die wij gebruiken groeit volledig met met de informatiebehoefte en netwerkbehoefte van een bedrijf. Daarmee volstaat de capaciteit en functionaliteit ook bij enorme groei in dataverkeer en veranderende Malware methodieken.
Meer over malware bestrijding
