image

Toename van snelkoppelingen bij gerichte aanvallen

zaterdag 31 augustus 2013, 15:39 door Redactie, 1 reacties

Cybercriminelen gebruiken een nieuwe methode om de netwerken van organisaties en bedrijven te infiltreren, namelijk een combinatie van snelkoppelingen en gedemonteerde malware. Snelkoppelingsbestanden zijn in het verleden al vaker bij gerichte aanvallen gebruikt, maar anti-virusbedrijf Symantec kwam laatst een aanval tegen waarbij de bestanden op een creatieve manier waren ingezet.

Het slachtoffer had als bijlage een archiefbestand ontvangen met daarin gedemonteerde malware en een snelkoppeling. Het archiefbestand bevatte een snelkoppeling met het icoon van een map, alsmede een echte map met daarin een Microsoft document en twee verborgen .dat-bestanden.

Detectie

Zodra het slachtoffer de snelkoppeling opende werd de malware, die uit de twee .dat-bestanden bestond, in elkaar gezet en het systeem geïnfecteerd. De reden dat de aanvallers de gedemonteerde malware pas op het systeem van het slachtoffer in elkaar zetten is mogelijk om detectie te omzeilen.

Het wordt hierdoor lastiger voor beveiligingssoftware om te bepalen of de bestanden kwaadaardig zijn. Een andere reden kan zijn dat sommige gateways uitvoerbare bestanden in e-mails verwijderen. Aangezien het niet nodig is dat een e-mailbijlage een snelkoppeling bevat, stelt analist Joji Hamada dat bedrijven ook hierop kunnen filteren.

Image

Reacties (1)
31-08-2013, 16:44 door Anoniem
"Aangezien het niet nodig is dat een e-mailbijlage een snelkoppeling bevat, stelt analist Joji Hamada dat bedrijven ook hierop kunnen filteren."

Ja klopt. Doen we al een jaar of 10.
Is dat nieuw in de beveiligingswereld?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.