Discord CDN-link misbruikt om RAT te leveren vermomd als OneDrive-bestand

Cybersecuritybedrijf Sublime Security ontdekte een nieuwe dreiging op het e-mailplatform Microsoft 365. Hackers gebruiken een slimme malwarecampagne om gebruikers te misleiden met valse OneDrive -e-mails.

Uit het onderzoek, dat gedeeld werd met Hackread.com, bleek dat de firma bij deze geavanceerde aanval twee afzonderlijke programma's voor afstandsbediening op de computer van het slachtoffer installeert, waardoor de aanval erg moeilijk te stoppen is.

Het AI-gestuurde systeem van Sublime Security detecteerde de aanval door verschillende subtiele aanwijzingen te ontdekken. Deze omvatten de e-mail die beweerde een bestand te delen, maar die naar een onbekende ontvangerslijst was verzonden, de misleidende bestandsextensie (de tekst vermeldde .docx maar was .msi ) en het gebruik van de gratis bestandshostingsite.

Onderzoekers ontdekten dat de aanval begint met een kwaadaardige e-mail die is verzonden vanaf een eerder gehackt account. Het bericht lijkt op een melding over het delen van bestanden van Microsoft's OneDrive, compleet met een bekende privacyvoettekst en een Word-documentpictogram .

Kwaadaardige e-mail (Bron: Sublime Security)

De link in de e-mail belooft een documentbestand te downloaden, maar leidt in werkelijkheid naar een gevaarlijk installatiebestand dat gehost wordt op een gratis dienst, het Discord CDN. Wanneer een gebruiker op de link klikt, installeert de aanval software die bekend staat als RMM (Remote Monitoring and Management). Dit zijn legitieme tools die door IT-professionals worden gebruikt om computers op afstand te repareren, maar cybercriminelen kunnen ze gebruiken om de volledige controle over een machine over te nemen.

De RMM-software werkt door een klein programma, een zogenaamde agent, op de doelcomputer te installeren, die de verbinding voor externe toegang tot stand brengt. Eenmaal geïnstalleerd, kan een RMM worden gebruikt om gegevens te stelen, de machine te blokkeren voor losgeld of andere aanvallen uit te voeren. Deze campagne is bijzonder lastig omdat Atera in een zichtbaar proces wordt geïnstalleerd, terwijl twee installaties op de achtergrond draaien, waaronder Splashtop Streamer en .Net Runtime 8.

Bericht over installatie van Atera Agent (Bron: Sublime Security)

Beide worden gedownload van legitieme bronnen, waardoor ze lijken op onschadelijk webverkeer. Deze dubbele aanpak is een belangrijk onderdeel van de opzet en zorgt ervoor dat de aanvaller "de controle op afstand behoudt, zelfs als er één RMM wordt ontdekt", aldus de blogpost .

Deze campagne benadrukt de groeiende dreiging van meerfasige aanvallen die misleiding gebruiken om blijvende controle over de computer van een slachtoffer te krijgen. Om veilig te blijven, moet u altijd voorzichtig zijn met onverwachte e-mails, zelfs van vertrouwde bronnen zoals OneDrive. Controleer ook zorgvuldig het bestandstype en de bestandsnaam voordat u gedownloade bestanden opent. Als het bestandstype niet klopt, zoals een .msi-bestand in plaats van een .docx bestand, voer het dan niet uit.