Een techniek die dreigingsactoren zo'n 20 jaar geleden voor het eerst gebruikten om gebruikers te misleiden om kwaadaardige bestanden uit te voeren, lijkt een comeback te maken.
Beveiligingsleverancier Vade zei dinsdag dat zijn onderzoekers de afgelopen twee weken meer dan 400 aanvallen hadden opgemerkt die de methode gebruikten - rechts-naar-links override (RLO) genoemd - in een phishing-campagne gericht op Microsoft 365-gebruikers. Slechts twee van de 58 malwaredetectietools op VirusTotal konden de dreiging detecteren, zei Vade.
Bij een RLO-aanval maken kwaadwillenden gebruik van een specifiek niet-afdrukbaar Unicode-teken, [U+202e], om extensies te vermommen, zodat gebruikers misleid worden om kwaadaardige bestanden uit te voeren. U+202e is een RLO Unicode-teken dat, wanneer het vóór een bepaald woord of stuk tekst wordt gebruikt, alle daaropvolgende tekst verandert die van rechts naar links wordt weergegeven, zoals nodig is om Hebreeuwse en Arabische talen te ondersteunen. Als het teken bijvoorbeeld vóór het woord 'Vade' wordt gebruikt, wordt de tekst weergegeven als 'edaV'.
In het verleden hebben aanvallers misbruik gemaakt van het Unicode-teken om uitvoerbare bestanden te verbergen. Vade wees erop hoe aanvallers U+202e zouden gebruiken in een uitvoerbaar bestand zoals "abctxt.exe", bijvoorbeeld, zodat het eruit zou zien als het meer goedaardige "abcexe.txt". Om dit te behalen, Vade zei, hoeft de tegenstander alleen U+202e op deze manier in de string in te voegen: "abc [U+202e] txt.exe"
In de loop der jaren nam de belangstelling van aanvallers voor de techniek af naarmate de detectiemechanismen verbeterden. Maar de afgelopen maanden zijn sommige tegenstanders begonnen de techniek opnieuw te gebruiken. Afgelopen augustus heeft het Health Information Sharing and Analysis Center (H-ISAC) een adviserende waarschuwing over bedreigingsactoren die de rechts-naar-links-override gebruiken karakter om kwaadaardige bestanden te verdoezelen en de Cobalt Strike-toolkit te leveren op systemen van organisaties in de gezondheidszorg.
"Het aanpassen en verbeteren van oude technieken om zich aan te passen aan de huidige omgevingen is gebruikelijk onder aanvallers, die altijd op zoek zijn naar nieuwe manieren om door te breken", zegt Adrien Gendre, Chief Technology and Product Officer en mede-oprichter van Vade.
In de campagne die de beveiligingsleverancier onlangs observeerde, gebruikten kwaadwillenden de RLO-techniek om e-mailontvangers te laten geloven dat ze een audiobestand aan het openen waren, terwijl het klikken op het bestand hen in plaats daarvan naar een phishing-site met referenties bracht.
Voor de zwendel stuurden de aanvallers Microsoft 365-gebruikers een e-mailmelding om hen uit te nodigen om toegang te krijgen tot een bijgevoegd voicemailbestand. Het onderwerp van de e-mail bevatte de werkelijke naam van de ontvanger en andere aspecten van de e-mail zagen er ook echt uit, zoals de datum en tijd. Het bijgevoegde bestand eindigde ook met een ".mp3" of een ".wav" bestandsextensie, wat een gebruiker normaal gesproken zou verwachten van een audiobestand. Als u erop klikt, wordt de gebruiker echter alleen naar een schijnbare Microsoft-aanmeldingspagina geleid die de gebruiker zijn wachtwoord wilde laten invoeren.
"Bij eerdere aanvallen, die populair waren in de jaren '90 en het begin van de jaren 2000, werd RLO-spoofing gebruikt om uitvoerbare malwarebestanden te verbergen", zegt Gendre. “De recente RLO-campagne gebruikt de techniek om een html-bestand, dat een link naar een phishing-pagina bevat, te vermommen als een mp3-bestand waarvan de gebruiker denkt dat het een voicemailbericht is.”
Er zijn maar weinig beveiligingstools die de zwendel konden detecteren, omdat ze zijn ontworpen om te scannen op IP- en domeinreputaties en bekende malwarehandtekeningen. "[Bij] de recente aanvallen bevatten de bijlagen geen bekende malwarecode, maar instructies in het html-bestand om een phishing-pagina te openen", merkt hij op.
Meer problemen aan de horizon?
Vade's rapport wijst naar een ander melden dat onderzoekers van Cambridge University afgelopen november gepubliceerd over een kwetsbaarheid die ze ontdekten in de Unicode-specificatie (CVE-2021-42574) waarmee aanvallers tijdens de ontwikkelingsfase kwaadaardige code kunnen vermommen en in software kunnen invoegen. De kwetsbaarheid stelt aanvallers in staat om bepaalde Unicode-tekens te gebruiken, waaronder het RLO (U+202e)-teken, om in feite code te herschikken die de logica zou veranderen, terwijl de visuele en semantische correctheid behouden blijft. "Tegenstanders kunnen dit bedrog gebruiken om kwetsbaarheden in code vast te leggen die niet door menselijke recensenten zullen worden gezien", schreven de twee onderzoekers van Cambridge University.
"Een ontwikkelaar met toegang tot de broncode zou met deze techniek de broncode kunnen coderen", zegt Gendre. "Bovendien, zoals we zagen bij de SolarWinds-aanval, kan deze via een inbreuk van buiten de organisatie komen."
Een andere kwetsbaarheid in de Unicode-specificatie die de onderzoekers ontdekten (CVE-2021-42694) geeft aanvallers een manier om karakters te gebruiken die bijna identiek aan elkaar lijken - of homoglyphs - om kwaadaardige code te injecteren tijdens softwareontwikkeling, wat bijna onmogelijk visueel te detecteren is.
Gendre merkt op dat een manier waarop organisaties de risico's van deze kwetsbaarheden kunnen verminderen, is door tekstrichting in compilers en taalspecificaties te verbieden.
- Coinsmart. Europa's beste Bitcoin- en crypto-uitwisseling.
- Platoblockchain. Web3 Metaverse Intelligentie. Kennis versterkt. GRATIS TOEGANG.
- CryptoHawk. Altcoin-radar. Gratis proefversie.
- Bron: https://www.darkreading.com/attacks-breaches/threat-actors-revive-20-year-old-tctic-in-microsoft-365-phishing-attacks
