Computerbeveiligingsonderzoekers hebben een nieuwe massale SPAM-campagne ontdekt die de codenaam ‘Salfram’ heeft gekregen en voornamelijk gericht is op zakelijke gebruikers en bedrijven. Verschillende hackgroepen zitten achter de aanvallen en afhankelijk van de huidige configuratie wordt er verschillende malware ontdekt.
Nieuw, Grote en gevaarlijke e-mailaanvalcampagne genaamd ‘Salfram’ Richt zich op bedrijven
Meldingen van een gevaarlijke nieuwe aanvalscampagne met verschillende malware vallen in hoog tempo zakelijke doelen en bedrijven over de hele wereld aan. Het lijkt erop dat deze campagne voortbouwt op eerdere aanvallen van verschillende hackgroepen. Dit is een bijzonder gevaarlijke aanval omdat deze berust op een complexe inhoudsstructuur die dit mogelijk maakt omzeil veiligheidscontroles — de virusbestanden worden niet in typische berichten voor kopiëren en plakken geplaatst. In plaats van dat het volgende verschillende kenmerken zijn indicatief voor deze specifieke campagne:
- Voorbereide inhoud — In plaats van de typische inhoud in te voegen, bevatten deze kwaadaardige e-mails webgebaseerde contactformulieren, scripts en interactieve elementen. Ze emuleren legitieme meldingen en berichten en kunnen de typische filters die worden gebruikt door beschermende software./li> overwinnen
- Gewijzigde kopteksten — Alle e-mailberichten die deel uitmaken van deze campagne hebben gewijzigde kopteksten die de ‘Salfram’ string die vervolgens als identificatie is gebruikt.
- Gecodeerde inhoud — Een sterk cijfer is in de berichten opgenomen om de payloads te verdoezelen.
De aanval wordt georganiseerd door informatie te verzenden via de contactformulieren die worden gepubliceerd op de websites van het bedrijf. Dit is een legitieme vorm van communicatie die veel wordt gebruikt voor klantenondersteuning of feedback. Afhankelijk van de branche en het profiel van het bedrijf worden verschillende soorten berichten voorbereid.
De voorbereide berichten bevatten malware koppelingen dat zal de ontvangers naar bestanden leiden die worden gehost op door hackers gecontroleerde servers, cloudopslagplatforms en enz. In de meeste gevallen zullen de herstelde bestanden -Macro geïnfecteerde documenten die zijn voorbereid in alle populaire kantoorformaten. En wanneer ze worden geopend, activeren ze een payload-bezorgingsscript dat leidt tot een virusinfectie.
Volgens de onderzoeksrapporten de aanvallen worden momenteel getweakt en zullen waarschijnlijk in de nabije toekomst veranderen. Ze zijn vooral handig voor het verspreiden van gevaarlijke malware, zoals de Qbot Trojan.