Forcepoint onderzoekers hebben een nieuwe stroom van aanvallen die Microsoft Microsoft Onedrive betrekken for Business onthuld. Cybercriminelen malware hosten op de dienst om links in e-mails die vervolgens aan gebruikers worden verzonden aan te vallen.
De onderzoekers zeg dat:
(...) Cybercriminelen gebruiken sinds ten minste augustus van dit jaar gecompromitteerde OneDrive for Business-accounts voor het hosten van malware. One Drive for Business is een betaalde Microsoft-service voor bedrijven waar werknemers bestanden kunnen opslaan en delen. Elke geregistreerde medewerker heeft een persoonlijke URL genaamd “Mijn website” waar werkgerelateerde bestanden kunnen worden geüpload en gedeeld, zelfs voor externe partijen. Het volgende toont het formaat van een MySite-URL:
- https://{zakelijke domeinnaam}-my.sharepoint.com/personal/{gebruikersnaam van de werknemer}_{zakelijke domeinnaam}/
MySite-accounts van werknemers aangetast en ingezet om malware te uploaden
De gegenereerde downloadlinks worden toegevoegd aan campagnes voor massa-mailing. Hier is een voorbeeld van een e-mail:
Het is duidelijk dat een Microsoft-domein wordt gebruikt omdat het er betrouwbaar uitziet en gebruikers de links zouden vertrouwen en doorgaan met het downloaden van de bijgevoegde bestanden.
Beveiligingsonderzoekers zeggen dat de malware die in deze campagne wordt verspreid, afkomstig is van families als Dridex en Ursnif, of twee grote banktrojanen. De bijlagen worden verspreid in de vorm van uitvoerbare bestanden of archieven met een JavaScript-downloader erin. Momenteel, gebruikers in Australië en het VK worden aangevallen, maar er kunnen ook andere landen bij komen.
Verwant: Zelfde Cyber-Gang Achter Dridex, Locky en CryptoWall
Echter, onderzoekers konden niet concluderen hoe de aanvallers erin slaagden OneDrive for Business-accounts te compromitteren. Dit nieuwe type aanvallen gevolgd door malwareverspreiding toont alleen aan dat niet alleen thuisgebruikers risico lopen, maar ook bedrijven.
Dergelijke aanvallen kunnen zeer schadelijk zijn voor bedrijven, aangezien kwaadwillende hackers toegang kunnen krijgen tot privégegevens die zijn opgeslagen in zakelijke accounts. Toegang tot diverse bedrijfsmiddelen en contacten is ook zeer goed mogelijk, onderzoekers waarschuwen.
De conclusie?
Aanvallen op online cloudopslagdiensten zijn een zeer effectieve manier voor cybercriminelen om malware te verspreiden. Omdat deze aanvalstactiek al wordt erkend als een repetitief model, De cybercriminelen zijn beslist op zoek naar nieuwe implementaties van social engineering om het succes van hun pogingen te garanderen.
Misbruik van de Microsoft OneDrive for Business-service kan hen in dit geval helpen. Omdat het een bekende service is voor bedrijven, kwaadaardige downloadlinks die door een dergelijk platform worden gehost, voegen een laag “vertrouwen” aan potentiële slachtoffers bij het downloaden van een onbekend bestand.
Verwant: Virlock Ransoware Maakt gebruik van de cloud te infecteren Meer Gebruikers
Zoals gewoonlijk, gebruikers mogen geen verdachte e-mails van onbekende afzenders openen. En ze zouden een sterke anti-malware-oplossing op hun systemen moeten hebben geïnstalleerd. Ook, Bedrijven mogen de waarde van onderwijs op het gebied van cyberveiligheid niet onderschatten. De inzet van dergelijk onderwijs is cruciaal in moderne bedrijven.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: