Ένας από τους πιο γνωστούς τρόπους διανομής malware είναι τα κακόβουλα συνημμένα σε emails. Οι επιτιθέμενοι στέλνουν phishing emails, τα οποία περιέχουν υποτιθέμενα τιμολόγια, προσκλήσεις, πληροφορίες πληρωμών, eFaxes, φωνητικά μηνύματα και άλλα. Αυτά είναι συνήθως κακόβουλα έγγραφα Word και Excel ή σύνδεσμοι, που όταν ανοίξουν, ενεργοποιούνται μακροεντολές που εγκαθιστούν malware.
Ωστόσο, για να ενεργοποιηθούν οι μακροεντολές, ο χρήστης πρέπει να πατήσει “Ενεργοποίηση επεξεργασίας” ή “Ενεργοποίηση περιεχομένου“. Αυτό δεν πρέπει να γίνεται ποτέ.
Οι διανομείς του malware κάνουν τους χρήστες να πατήσουν αυτά τα κουμπιά, δημιουργώντας έγγραφα Word και Excel που περιέχουν κείμενο και εικόνες, αλλά δηλώνουν ότι υπάρχει κάποιο πρόβλημα με την εμφάνιση του εγγράφου. Οι χρήστες θα πρέπει να ενεργοποιήσουν το περιεχόμενο για να δουν το έγγραφο σωστά.
Ο συνδυασμός κειμένου και εικόνων σε αυτά τα κακόβουλα συνημμένα ονομάζεται “document templates“.
Ποια malware, όμως, διανέμονται περισσότερο μέσω των κακόβουλων συνημμένων;
BazarLoader
Το BazarLoader είναι ένα malware που στοχεύει εταιρικά δίκτυα και αναπτύχθηκε από την ομάδα που βρίσκεται πίσω από το TrickBot trojan. Η εγκατάστασή του επιτρέπει την απομακρυσμένη πρόσβαση στον υπολογιστή του θύματος, ο οποίος στη συνέχεια χρησιμοποιείται για να θέσει σε κίνδυνο το υπόλοιπο δίκτυο.
Μετά την εγκατάσταση του BazarLoader, οι επιτιθέμενοι αναπτύσσουν το Ryuk ransomware για την κρυπτογράφηση όλων των συσκευών σε ένα δίκτυο.
Το malware διανέμεται συνήθως μέσω phishing emails που περιέχουν συνδέσμους προς υποτιθέμενα έγγραφα Word ή Excel. Τα έγγραφα εμφανίζονται με κάποιο πρόβλημα, ώστε να κάνετε λήψη. Στην πραγματικότητα είναι ένα εκτελέσιμο που εγκαθιστά το BazarLoader.
Dridex
Πρόκειται για ένα προηγμένο banking Trojan που εντοπίστηκε για πρώτη φορά το 2014 και εξελίσσεται συνεχώς. Το malware χρησιμοποιείται για την κλοπή κωδικών πρόσβασης, την παροχή απομακρυσμένης πρόσβασης σε έναν υπολογιστή και την εκτέλεση άλλων κακόβουλων δραστηριοτήτων.
Συνήθως, το Dridex χρησιμοποιείται για το πρώτο στάδιο μιας ransomware επίθεσης (BitPaymer ή Dridex). Επίσης, ένα άλλο ransomware, γνωστό ως WastedLocker, πιστεύεται ότι συνδέεται με το Dridex, αλλά δεν συμφωνούν όλοι οι ειδικοί με αυτό.
Η συμμορία Dridex τείνει να χρησιμοποιεί περισσότερο τυποποιημένα document templates που εμφανίζουν μικρό ή ασαφές περιεχόμενο και ζητούν από τα θύματα να κάνουν κλικ στην “Ενεργοποίηση περιεχομένου” για να το δουν καλύτερα.
Επίσης, χρησιμοποιεί έγγραφα που φαίνεται να είναι πληροφορίες για τις DHL και UPS. Και σε αυτή την περίπτωση, οι χρήστες καλούνται να πατήσουν “Ενεργοποίηση Περιεχομένου” για να δουν τις πληροφορίες.
Η συμμορία Dridex χρησιμοποιεί εικόνες με λογότυπα εταιρειών για να εξαπατήσει τους χρήστες και να τους κάνει να ενεργοποιήσουν τις μακροεντολές.
Emotet
Το Emotet είναι το malware που διανέμεται περισσότερο μέσω κακόβουλων συνημμένων. Το Emotet κλέβει το email του θύματος και χρησιμοποιεί τον μολυσμένο υπολογιστή για να στείλει και άλλα spam emails σε άλλα θύματα.
Οι χρήστες που έχουν μολυνθεί με το Emotet, μολύνονται περαιτέρω με trojans όπως το TrickBot και το QakBot. Και τα δύο Trojans χρησιμοποιούνται για να κλέψουν κωδικούς πρόσβασης, cookies, αρχεία και για να παραβιάσουν ολόκληρο το δίκτυο.
Τελικά, εάν ένα δίκτυο μολυνθεί από το TrickBot, πιθανότατα θα επηρεαστεί και από το Ryuk ή Conti ransomware. Όσοι επηρεάζονται από το QakBot, ενδέχεται να πληγούν από το ProLock ransomware.
Και σε αυτή την περίπτωση, οι χρήστες καλούνται να ενεργοποιήσουν μακροεντολές για να δουν καλύτερα το περιεχόμενο.
QakBot
Το QakBot, ή το QBot, είναι ένα banking trojan που εξαπλώνεται, επίσης, μέσω phishing εκστρατειών και συγκεκριμένα μέσω κακόβουλων συνημμένων Word. Το QakBot κλέβει τραπεζικές πληροφορίες, εγκαθιστά άλλα κακόβουλα λογισμικά και επιτρέπει την απομακρυσμένη πρόσβαση σε ένα δίκτυο.
Το QakBot, όπως και κάποια από τα παραπάνω malware, συνδέεται επίσης με ransomware, όπως το ProLock.
Εκτελέσιμα
Τέλος, οι χρήστες θα πρέπει να έχουν στο νου τους ότι δεν πρέπει ποτέ να ανοίγουν συνημμένα με επεκτάσεις: .vbs, .js, .exe, .ps1, .jar, .bat, .com ή .scr καθώς μπορούν να χρησιμοποιηθούν για την εκτέλεση εντολών σε έναν υπολογιστή.
Καθώς οι περισσότερες υπηρεσίες email, όπως το Office και το Gmail, αποκλείουν τα “εκτελέσιμα” συνημμένα, οι διανομείς malware τα στέλνουν σε αρχεία που προστατεύονται με κωδικό πρόσβασης (ο οποίος δίνεται στο email). Με αυτόν τον τρόπο, τα κακόβουλα συνημμένα παρακάμπτουν τα μέτρα ασφαλείας του email και φτάνουν στον παραλήπτη.
Δυστυχώς, η Microsoft αποφάσισε να αποκρύψει τις επεκτάσεις αρχείων, το οποίο διευκολύνει τους εγκληματίες. Λόγω αυτού, το BleepingComputer συνιστά ανεπιφύλακτα σε όλους τους χρήστες των Windows να επιτρέπουν την εμφάνιση των επεκτάσεων αρχείων, ώστε να αποφεύγουν οτιδήποτε επικίνδυνο.