Af Eskil Sørensen, 16/11/20
Forestil dig, hvis cyberkriminelle ikke skulle sende en ondsindet e-mail til deres ofre men allligevel kunne få den frem? Sådan begynder en artikel i Cyberscoop om et nyt værktøj, som angiveligt udbydes til salg på Dark Web.
Det er et værktøj, som en hacker hævder kan bruges til at ’implantere’ emails snarere end at sende dem, og som ifølge forskere har potentialet til at omgå sikkerheden ved meddelelser, når de er på vej til deres destinationsserver.
Betydelig trussel
Ifølge et blogindlæg fra et sikkerhedsfirma, Gemini i Miami, som Cyberscoop citerer fra, udgør den udbudte software ’en betydelig trussel, da den hæver succesraten for malwareangreb, giver mulighed for mere sofistikerede phishing- og BEC-kampagner (Business Email Kompromis) og åbner døren for teknisk enkle ransomware-lignende angreb’.
Tricket med at implantere e-mailen via “Email Appender” -softwaren går som følger:
For det første skal angribere skaffe gyldige e-mail-adresser og tilknyttede adgangskoder, der ofte er tilgængelige på Dark Web til en lav pris. Derefter skal angriberen uploade de kompromitterede legitimationsoplysninger til Email Appender, som kontrollerer legitimationsoplysningerne og opretter forbindelse til kontiene via Internet Message Access Protocol. Det er en standardprotokol, som e-mail-klienter bruger til at hente meddelelser.
Derfra kan angribere bruge en IMAP-funktion, der gør det muligt for en godkendt bruger at føje en besked til deres indbakker og kan ændre felterne "Afsender", "Fra" og "Svar til".
Denne teknik skulle ikke være ny, men metoden mere simpel, hvilket gør værktøjet mere tilgængeligt for mindre teknisk dygtige trusselsaktører.
Hacker med godt ry
Ifølge Stanislav Alforov, Gemini Advisory's direktør for forskning, har hackeren, der reklamerer for værktøjet, tidligere tilbudt andre tjenester og synes at have et "anstændigt ry" i fora på dark web. En video, han uploadede på YouTube, har modtaget positiv feedback fra folk, der siger, at de har været i stand til at teste og bruge Email Appender-værktøjet, siger Alforov ifølge Cyberscoop.
Det fremgår ikke af artiklen, hvad ’anstændigt’ betyder, men vi gætter på, at det har noget at gøre med, at hackeren udvikler og sælger værktøjer, der virker.
Den bedste måde at undgå risikoen for et besøg fra Email Appender, er at aktivere multifaktorautentificering. Når en konto er beskyttet med mere end bare en adgangskode, kan den ondsindede software ikke udføre sit job.
Dermed er det atter bevist, at multifaktorautentifikation stadig virker.
Links:
https://www.cyberscoop.com/email-appender-implant-gemini-advisory/