Een stijging van de beschikbaarheid van malware “maaltijdpakketten” voor minder dan $ 100 zorgen voor een stijging van ccampagnes die gebruikmaken van Trojaanse paarden voor externe toegang (RAT's), die vaak zijn ingebed in ogenschijnlijk legitieme Excel- en PowerPoint-bestanden die bij e-mails zijn gevoegd.
Dat zegt HP Wolf Security, dat zijn “Rapport over bedreigingsinzichten over het derde kwartaal van 3” vandaag, waarbij een aanzienlijke piek wordt waargenomen in Excel-bestanden met DLL's die zijn geïnfecteerd met de Parallax RAT. De bestanden verschijnen voor de ontvangers als legitiem op facturen, die, wanneer erop wordt geklikt, de malware lanceren, aldus senior malware-analist Alex Holland van HP. Parallax RAT-malwarekits zijn voor $ 65 per maand verkrijgbaar op hackforums, voegt hij eraan toe.
Volgens het rapport van HP hebben cybercriminelen zich ook op aspirant-aanvallers gericht met malwarekits zoals XWorm, gehost in schijnbaar legitieme opslagplaatsen zoals GitHub. Anderen, zoals die met de nieuwe DiscordRAT 2.0, hebben dat ook gedaan onlangs opgedoken, aldus onderzoekers.
Holland benadrukte dat 80% van de bedreigingen die het tijdens het kwartaal in zijn telemetrie zag, op e-mail gebaseerd waren. En in een interessante rimpel, sommige Cybercriminelen lijken achter hun eigen aanvallers aan te gaan, waarbij slimme aanvallers zich in sommige RAT-campagnes richten op onervaren aanvallers.
Parallax stijgt
Volgens het HP-rapport is Parallax RAT gestegen van de 46e meest populaire payload in het tweede kwartaal van 2023 naar de zevende plaats in het daaropvolgende kwartaal. "Dat is een hele grote piek in het aantal aanvallers dat dit bestandsformaat gebruikt om hun malware af te leveren", zegt Holland.
Onderzoekers ontdekten bijvoorbeeld een Parallax RAT-campagne met een ‘Jekyll and Hyde’-aanval: ‘Er worden twee threads uitgevoerd wanneer een gebruiker een gescande factuursjabloon opent. De ene thread opent het bestand, terwijl de andere achter de schermen malware uitvoert, waardoor het voor gebruikers moeilijker wordt om te vertellen dat er een aanval gaande is”, aldus het rapport.
Parallax werd tijdens het begin van de pandemie eerder in verband gebracht met verschillende malwarecampagnes, blijkt uit een blogpost uit maart 2020 van Arnold Osipov, een malware-onderzoeker bij Morphisec. “Het is in staat geavanceerde detectieoplossingen te omzeilen, inloggegevens te stelen en opdrachten op afstand uit te voeren”, schreef Osipov destijds.
Osipov vertelt Dark Reading nu dat hij de specifieke toename van aanvallen met Parallax die HP rapporteert niet heeft gezien, maar dat RAT's over het algemeen een groeiende bedreiging zijn geworden in 2023.
RAT's teisteren de cyberaanvalscène
Verschillende stijgingen in de RAT-activiteit omvatten één in juli, toen Check Point Research wijst erop tot een toename van het aantal Microsoft Office-bestanden die zijn geïnfecteerd met een RAT bekend als Remcos, die voor het eerst verscheen in 2016. Veel van deze kwaadaardige bestanden zijn verschenen op nepwebsites die door de bedreigingsactoren zijn gemaakt.
Een andere op RAT gebaseerde campagne die in opkomst is en die HP onderstreepte, is Houdini, die Vjw0rm JavaScript-malware verbergt. Houdini is een 10 jaar oude, op VBScript gebaseerde RAT die nu gemakkelijk verkrijgbaar is in hackvormen die gebruik maken van op OS gebaseerde scriptfuncties.
Het is vermeldenswaard dat de bedreigingen van Houdini en Parallax nu misschien van korte duur zijn Microsoft is van plan VBScript af te schaffen. Microsoft maakte eerder deze maand bekend dat VBScript alleen beschikbaar zal zijn in toekomstige versies van Windows, alleen op aanvraag beschikbaar zal zijn en uiteindelijk niet langer beschikbaar zal zijn.
Hoewel Holland zegt dat dit goed nieuws is voor verdedigers, zullen aanvallers overgaan tot iets anders.
“Wat we in de toekomst verwachten is dat aanvallers zullen overstappen van VBScript-malware, en mogelijk zelfs JavaScript-malware, naar formaten die nog steeds worden ondersteund op Windows – zaken als PowerShell en Bash”, zegt hij. “En we verwachten ook dat aanvallers zich meer zullen richten op het gebruik van interessante of nieuwe verduisteringstechnieken om eindpuntbeveiliging te omzeilen met behulp van deze codeertalen.”
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://www.darkreading.com/endpoint/malware-meal-kits-serve-up-no-fuss-rat-attacks
