Onderzoekers van Check Point hebben de meest gebruikte malware in februari van 2023 op een rijtje gezet en Qbot is nog steeds de aanvoerder van het onsmakelijke lijstje. Ook Formbook- en Emotet-aanvallen zijn de afgelopen maand vaker gebruikt dan voorheen, zo blijkt uit het onderzoek. Nog een opvallende techniek is Remcos Trojan, malware verstopt in Microsoft Office-documenten en vaak gebruikt tegen Oekraïne in de huidige oorlog met Rusland. Dit zijn volgens Check Point de vijf meest gebruikte malwaresoorten van afgelopen maand:
- Qbot: een vorm van een trojan waarbij bankgegevens van een gebruiker gestolen worden, veelal verspreid via spammails. Deze malware is ontwikkeld om automatische detectie te ontwijken.
- Formbook: een infostealer gericht op Windows-besturingssystemen waarbij inloggegevens opgeslagen door browsers verzameld worden.
- Emotet: een geavanceerde trojan waarmee andere malware en kwaadaardige code verspreid kan worden, veelal verspreid via spammails en malafide links.
- XMRig: deze opensourcetechnologie wordt gebruikt voor het delven van Monero-cryptovaluta en wordt vaak als malware geïnstalleerd om de cpu-rekenkracht van een slachtoffer te misbruiken.
- AgentTesla: keylogger- en daarmee infostealermalware waarmee gegevens van gebruikers geregistreerd kunnen worden.
Het vermelde Remcos Trojan staat op de achtste plaats in de lijst van de beveiligingsonderzoekers, maar is opvallend aangezien deze vorm van malwareverspreiding kort na de invasie van Oekraïne werd gebruikt om cyberaanvallen op het betreffende land los te laten. Sinds december van vorig jaar zou de frequentie van deze aanvalsvorm lager zijn, maar hij is nu weer terug van weggeweest. Dergelijke trojans worden doorgaans gelinkt aan cyberspionage. Check Point schrijft:
Hoewel het aantal politiek gemotiveerde aanvallen op Oekraïne is afgenomen, blijft het een strijdtoneel voor cybercriminelen. Hacktivisme staat hoog op de agenda van hackers sinds het begin van de Russisch-Oekraïense oorlog. Verstorende aanvalsmethoden die veel publiciteit generen zoals DDoS-anvallen krijgen vaak de voorkeur. Maar bij de meest recente campagne werd een meer traditionele aanvalsroute gebruikt, waarbij gebruik werd gemaakt van phishing om gegevens te bemachtigen.
Het zou slim zijn dat bedrijven en overheidsinstanties de standaard procedures volgen bij het openen van een link in emails. Zo mogen er nooit zomaar bijlagen gedownload worden zonder deze bestanden eerst te inspecteren en zouden links in de body van een email vermeden moeten worden. Daarnaast is het altijd slim om het afzenderadres goed te bekijken; afwijkingen van bekende namen of adressen met extra tekens of spelfouten zijn een goed teken dat de afzender een 'nep' emailadres gebruikt om malware te verspreiden.
Bron: Check Point
