Hackers zijn een ‘stille’ aanvalsmethode gaan gebruiken: er is vrijwel geen interactie nodig

Cybersecuritybedrijf Check Point waarschuwt voor een nieuwe hackmethode genaamd “FileFix.”

Met deze methode kunnen cybercriminelen gebruikers misleiden tot het uitvoeren van kwaadaardige opdrachten, wat ernstige beveiligingsrisico's met zich meebrengt. Bovendien misleiden hun computers gebruikers, terwijl ze worden misleid, tot het uitvoeren van routinematige handelingen.

HOE WERKT HET?

FileFix is een afgeleide van de eerder veelgebruikte "ClickFix"-techniek. ClickFix misleidde gebruikers om kwaadaardige opdrachten uit te voeren via het Windows-venster "Uitvoeren". Uitvoeren is een van de meest gebruikte tools in Windows-besturingssystemen. Dit venster wordt gebruikt om elke actie op de computer uit te voeren of een toepassing of programma te openen. FileFix daarentegen opent Windows Verkenner rechtstreeks vanaf een webpagina en laadt automatisch een verborgen PowerShell-opdracht in het klembord van de gebruiker. PowerShell is een tool die door Windows is ontwikkeld om computerprocessen te automatiseren. In dit geval implementeert het feitelijk schadelijke software. De aanvalsmethode werkt stapsgewijs als volgt:

- Er wordt een nep-webpagina geopend (bijvoorbeeld ‘visuele verificatie’ of ‘documenten delen’).

- Deze pagina start explorer.exe nadat u op de knop "Verkenner openen" klikt.

- Tegelijkertijd JavaScript en een schadelijke PowerShell-opdracht naar het klembord kopiëren.

- De pagina geeft de gebruiker de opdracht om het bestand "in de adresbalk te plakken en op Enter te drukken". Dit zorgt ervoor dat Windows de schadelijke PowerShell-opdracht op de achtergrond uitvoert.

Richt zich op routinematig gedrag

Kortom, in de meeste gevallen voeren gebruikers die mogelijk niet begrijpen wat er gebeurt, de malware uit door opdrachten van hun computer uit te voeren. Er wordt benadrukt dat deze aanval niet wordt uitgevoerd via een softwarekwetsbaarheid, maar eerder door misbruik te maken van routinematig gebruikersgedrag en gebruikersvertrouwen. Onderzoekers van Check Point stelden dat kwaadwillenden de FileFix-methode al zijn gaan gebruiken, maar dat de bestanden die momenteel worden geüpload onschadelijk zijn. Dit suggereert dat aanvallers waarschijnlijk testen voordat ze echte malware implementeren. Experts die met IT Pro spraken, merkten op dat het feit dat FileFix slechts enkele dagen na de publieke release al in de praktijk wordt gebruikt, aantoont hoe snel aanvallers zich aanpassen aan nieuwe methoden. "Aanvallers maken het steeds moeilijker om verdedigingen te implementeren door zich te richten op de kernfunctionaliteit van Windows", aldus Dray Agha, security operations manager bij cybersecuritybedrijf Huntress. "Ze kunnen kwaadaardige PowerShell-opdrachten uitvoeren zonder standaardbeveiligingswaarschuwingen te activeren." Agha merkte op dat FileFix wijdverbreid en succesvol wordt gebruikt en dat veel gebruikers voor deze techniek zijn gevallen.

HOE BESCHERM JE JE?

Experts van Check Point deden de volgende aanbevelingen aan IT-beveiligingsteams om zichzelf tegen dergelijke aanvallen te beschermen:

- Houd valse verificatiepagina's en phishingsites die populaire services nabootsen nauwlettend in de gaten. Wees vooral op uw hoede voor valse pagina's die sjablonen gebruiken die vergelijkbaar zijn met Cloudflare. - Implementeer en werk regels regelmatig bij om ongebruikelijke PowerShell-aanroepen te detecteren die worden geactiveerd door inhoud die naar het klembord wordt gekopieerd en door gebruikersinteractie. - Houd trends op het gebied van social engineering in de gaten en werk regelmatig de training van medewerkers, incidentresponsplannen en beveiligingsprotocollen bij. - Creëer een 'verificatiecultuur'. Medewerkers mogen nooit ongebruikelijke of onverwachte verzoeken inwilligen zonder deze eerst te verifiëren bij de relevante beveiligingsafdeling. Bovendien blijft gebruikersbewustzijn de belangrijkste verdedigingslinie om de impact van dergelijke aanvallen te beperken. Individuele gebruikers wordt ook geadviseerd waakzaam te zijn voor het volgende:

- Wees uiterst achterdochtig bij e-mails en webpagina's die vragen om ongebruikelijke acties, zoals kopiëren en plakken. - Echte websites of software vragen u zelden om handmatige opdrachten uit te voeren om problemen op te lossen.