Phishing-aanvallen worden steeds geavanceerder, waarbij cybercriminelen investeren in nieuwe manieren om slachtoffers te misleiden om gevoelige informatie vrij te geven of kwaadaardige software te installeren. Een van de nieuwste trends op het gebied van phishing is het gebruik van QR-codes, CAPTCHA’s en steganografie. Zie hoe ze worden uitgevoerd en leer ze te detecteren.
Quishing
Quishing, een phishing-techniek die voortkomt uit de combinatie van ‘QR’ en ‘phishing’, is in 2023 een populair wapen geworden voor cybercriminelen.
Door kwaadaardige links in QR-codes te verbergen, kunnen aanvallers traditionele spamfilters omzeilen, die vooral gericht zijn op het identificeren van op tekst gebaseerde phishing-pogingen. Het onvermogen van veel beveiligingstools om de inhoud van QR-codes te ontcijferen, maakt deze methode verder een favoriete keuze voor cybercriminelen.
Het analyseren van een QR-code met daarin een kwaadaardige link in een veilige omgeving is eenvoudig met ANY.RUN:
- Open deze taak eenvoudig in de sandbox (of upload uw bestand met een QR-code).
- Navigeer naar het gedeelte Statisch ontdekken (door op de naam van het bestand in de rechterbovenhoek te klikken).
- Selecteer het object met de QR-code.
- Klik op ‘Verzenden om te analyseren’.
De sandbox opent dan automatisch een nieuw taakvenster, waarin u de URL kunt analyseren die in de QR-code is geïdentificeerd.
CAPTCHA-gebaseerde aanvallen
CAPTCHA is een beveiligingsoplossing die op websites wordt gebruikt om te voorkomen dat geautomatiseerde bots nepaccounts aanmaken of spam verzenden. Aanvallers zijn erin geslaagd deze tool in hun voordeel te misbruiken.
Aanvallers gebruiken steeds vaker CAPTCHA’s om formulieren voor het verzamelen van inloggegevens op nepwebsites te maskeren. Door honderden domeinnamen te genereren met behulp van een Randomized Domain Generated Algorithm (RDGA) en de CAPTCHA’s van CloudFlare te implementeren, kunnen ze deze formulieren effectief verbergen voor geautomatiseerde beveiligingssystemen, zoals webcrawlers, die de CAPTCHA’s niet kunnen omzeilen.
Het bovenstaande voorbeeld toont een aanval gericht op werknemers van Halliburton Corporation. Het vereist eerst dat de gebruiker een CAPTCHA-controle doorstaat en gebruikt vervolgens een realistische privé-inlogpagina van Office 365 die moeilijk te onderscheiden is van de echte pagina.
Zodra het slachtoffer zijn inloggegevens invoert, wordt hij of zij doorgestuurd naar een legitieme website, terwijl de aanvallers de inloggegevens naar hun Command-and-Control-server exfiltreren.
Lees meer over CAPTCHA-aanvallen in dit artikel.
Steganografie-malwarecampagnes
Steganografie is de praktijk waarbij gegevens in verschillende media worden verborgen, zoals afbeeldingen, video’s of andere bestanden.
Een typische phishing-aanval waarbij gebruik wordt gemaakt van steganografie begint met een zorgvuldig vervaardigde e-mail die is ontworpen om legitiem over te komen. In de e-mail zit een bijlage, vaak een Word-document, vergezeld van een link naar een platform voor het delen van bestanden zoals Dropbox. In onderstaand voorbeeld zie je een valse e-mail van een Colombiaanse overheidsorganisatie.
De nietsvermoedende gebruiker die op de link in het document klikt, downloadt een archief met een VBS-scriptbestand. Bij uitvoering haalt het script een afbeeldingsbestand op, schijnbaar onschadelijk maar met verborgen kwaadaardige code. Eenmaal uitgevoerd, infecteert de malware het systeem van het slachtoffer.
Lees dit artikel om te begrijpen hoe steganografie-aanvallen worden uitgevoerd en gedetecteerd.
Stel phishing-aanvallen bloot met ANY.RUN
ANY.RUN is een sandbox voor malwareanalyse die een breed scala aan phishing-tactieken kan detecteren en gebruikers deze in detail kan laten onderzoeken.
Bekijk de Black Friday-aanbieding van ANY.RUN, beschikbaar van 20 t/m 26 november.
De zandbak biedt:
- Volledig interactieve Windows 7,9,10,11 virtuele machines
- Uitgebreide rapporten met IOC’s en malwareconfiguraties
- Privéanalyse van een onbeperkt aantal bestanden en links
