Het aantal malware in archiefbestanden, waaronder snelkoppelingen, steeg met 11% ten opzichte van vorig kwartaal. Dit blijkt uit het HP Wolf Security Threat Insights Report waarin cyberaanvallen worden geanalyseerd.
Dit rapport toont aan dat een groot gedeelte van de cybercriminelen die malwarefamilies verspreiden – waaronder QakBot, IceID, Emotet en RedLine Stealer – overstappen naar snelkoppelingen (LNK-bestanden) om malware te verspreiden.
Snelkoppelingen vervangen de macro’s van Office – die standaard worden geblokkeerd in Office – als een manier voor aanvallers om voet aan de grond te krijgen in netwerken, door gebruikers ertoe te verleiden hun pc’s te infecteren met malware.
Cybercriminelen plaatsen vaak snelkoppelingsbestanden in ZIP e-mailbijlagen om hen te helpen e-mailscanners te ontwijken. Het HP Wolf Security threat researchteam zag ook dat LNK-malwarebouwers te koop waren op hackerforums, waardoor het voor cybercriminelen makkelijk werd om over te schakelen op deze “macrovrije” code-uitvoeringstechniek.
“Het openen van een snelkoppeling of HTML-bestand lijkt misschien onschadelijk voor een werknemer, maar dit kan leiden tot een groot risico voor de onderneming”, legt Alex Holland uit, Senior Malware Analyst van het HP Wolf Security threat researchteam. “We raden aan om snelkoppelingsbestanden die als e-mailbijlagen zijn ontvangen of van het web gedownload zijn onmiddellijk te blokkeren.”
HP heeft tevens een phishingcampagne ontdekt die een nieuwe malwarefamilie genaamd SVCReady verspreidt. Deze familie valt op door de ongebruikelijke manier waarop de malware op doelcomputers wordt afgeleverd – via shellcode die in de eigenschappen van Office-documenten is verborgen. De malware – die voornamelijk is ontworpen om secundaire malware payloads te downloaden naar geïnfecteerde computers nadat er systeeminformatie en schermafbeeldingen zijn verzameld – bevindt zich nog in een vroeg ontwikkelingsstadium en is de afgelopen maanden verschillende keren geüpdatet.
