Het is algemeen bekend dat het internet een vreemde plek kan zijn. Het is dus niet verrassend dat cybercriminelen hier een deel van inbrengen. Onderzoekers zagen de afgelopen weken en handvol kwaadaardige campagnes die veel verder gaan dan het ‘gebruikelijke’ niveau van waanzin voor het bereiken van social engineering-doelen. Dit zijn de drie meest bizarre campagnes van de afgelopen tijd.
1. Tickets naar Mars
Een aantal jaar geleden haalde ruimtetoerisme de krantenkoppen. Het leek erop dat het tijdperk voor orbitale reizen voor de deur stond en dat NASA woningen op de maan ging bouwen. Helaas zorgden een aantal tegenslagen ervoor dat de ruimte voorlopig alleen bestemd is voor astronauten, wetenschappers en de allerrijksten. Volgens het principe ‘go big or go home’ stopte een recent kwaadaardige emailcampagne niet alleen bij suborbitale ruimtevluchten of een bezoek aan de maan. In tegendeel, de campagne beloofde ontvangers de kans om een reis naar Mars te winnen.
De berichten hadden onderwerpregels zoals “U wint en reis naar Mars”. Ook bevatten de mails een pdf met een afbeelding van een recente biografie van Elon Musk en een vervalst updatevenster voor Adobe Reader. De downloadknop op de nepafbeelding linkte naar een tar.gz-bestand met een uitvoerbaar bestand dat uiteindelijk ‘Redline stealer’ downloadde.
Afbeelding 1. Een recente biografie van Elon Musk met een vervalst updatevenster voor Adobe Reader
De timing van de campagne was opmerkelijk, aangezien de native ondersteuning van het bestandstype in Windows 11 pas startte in oktober 2023.
Soms komen dreigingsactoren met lokmiddelen die zo onwaarschijnlijk zijn dat het moeilijk voor te stellen is dat iemand erin trapt. Toch zit er een zekere methode in deze waanzin. Voor sommige ontvangers is nieuwsgierigheid alleen al een effectief lokmiddel. Het gaat er bij social engineering ten slotte om dat het slachtoffer doet wat de cybercrimineel wil – in dit geval op een downloadlink klikken. Het gaat er niet om of het slachtoffer geloofd dat ze écht een reis naar Mars winnen, het gaat om waarom dat wordt aangeboden.
2. Onbeschofte klantenservice
Iedereen heeft wel eens een slechte dag, maar sociale media maken een kijksport van online klachten. In deze geringe campagne verspreidde een niet-toegewezen dreigingsactor berichten die afkomstig leken te zijn van woedende klanten met de naam ‘Daniel Rodriguez’, of ‘Emma Grace’. Daniel en Emma waren zo boos over de service die zij kregen dat ze niet alleen een klaagmail stuurden, maar dit ook uitgebreid toelichttenin een bijlage genaamd “Attitude_reports.svg”.
Afbeelding 2. Een klaagmail van ’Emma Grace’.
Gek genoeg is SVG de bestandsextentie voor Scalable Vector Graphics. Dit is een ongebruikelijk bestandstype voor het maken van notities over een respectloze werknemer. Maar, wanneer de ontvanger toch de bijlage downloadde, ontstonden er problemen.
De SVG werd geopend in een browser en startte een complexe infectieketen. Deze leidde naar de Phermedrone stealer malware. Deze aanvalsketen was opmerkelijk vanwege het gebruik van CVE-2023-38821 en omdat het een voorbeeld was van het toenemende gebruik van SVG-bestanden in het post-macrolandschap.
Van Oekraïne tot Oezbekistan
Het conflict tussen Rusland en Oekraïne veroorzaakt onrust verspreid over heel de regio. Het treft zelfs cybercriminelen wereldwijd. In een recente campagne zagen onderzoekers een aanvaller die probeerde om de mogelijkheid van het verkrijgen van Oekraïense producten gebruiken als lokmiddel om potentiële slachtoffers in heel Europa aan te vallen namens hun partners in Oezbekistan.
De berichten bevatten een afbeelding met een hyperlink die een pdf-bijlage nabootste. Slachtoffers die op de afbeelding klikten, werden naar een MediaFire URL geleid. Hierdoor ontstond een infectieketen die uiteindelijk uitkwam bij AgentTesla.
Afbeelding 3. Een voorbeeld van een bericht voor het krijgen van Oekraïense producten.
Abonneer op de
Discarded podcast voor meer inzichten van dreigingsonderzoekers.