Een aanhoudende phishing-aanval op basis van Separ Malware heeft honderden bedrijven besmet. Deze phishing-campagne is eind januari gestart en heeft inmiddels meer dan 200 bedrijven en meer dan duizenden individuen getroffen.
Separ Malware is een aanval met inloggegevens die al sinds eind 2017 bestaat. De nieuwste golf is echter net terug en is schokkend zo handig om software of malwaredetectieservices te vermijden.
Inmiddels heeft het zich gericht op meer dan 1200 systemen om hun browser- en e-mailgegevens te stelen. Sinds de aanval eind januari begon, heeft deze tot nu toe een groot deel van Zuidoost-Azië, het Midden-Oosten en Noord-Amerika getroffen.
Volgens beveiligingsexperts: "Hoewel het aanvalsmechanisme dat door deze kwaadaardige software wordt gebruikt heel eenvoudig is en er geen poging is ondernomen door de aanvaller om oplossing te vermijden, geeft de toename van het aantal slachtoffers dat door deze kwaadaardige software wordt getroffen aan dat eenvoudige aanvallen veel meer kunnen zijn effectief.”
Lees ook: Een gids om uzelf te beschermen tegen speerphishingaanvallen
De verbeterde versie van Separ Malware is een combinatie van korte scripts, batchbestanden en legitieme uitvoerbare bestanden. De meest recente Spear-aanvallen zijn via e-mail in een PDF-document aangekomen. Het kan zich voordoen als een belangrijke organisatieofferte of reguliere zakelijke zendingen of gerelateerd aan apparatuurspecificaties.
Zodra een slachtoffer erop klikt, start het document een reeks andere toepassingen en bestanden, de zelfextractor roept 'wscript.exe' aan om een VB-script uit te voeren dat bekend staat als 'adobel.vbs'. Deze legitieme bestanden worden verder misbruikt om kwaadaardige functies uit te voeren, voornamelijk met als doel informatie te verzamelen.
Op basis van verschillende bronnen zouden alle verzamelde gegevens kunnen worden gebruikt voor Business Email Compromise-aanvallen, die bedrijven aanzienlijke financiële verliezen kunnen opleveren. De nieuwe versie van Separ Malware gebruikt een aantal tools voor het dumpen van wachtwoorden om inloggegevens en FTP-clients te stelen om verzamelde gegevens te uploaden naar een legitieme service genaamd - freehostia(.)com.
Verschillende onderzoekers hebben gewaarschuwd dat de phishing-campagne nog steeds aan de gang is. Daarom wordt uw organisatie aanbevolen om het gebruik van scripttools te beperken ter bescherming tegen deze aanval. Populaire antispamoplossingen zoals: Systweak Anti-malware voor Mac & Geavanceerde systeembescherming voor Windows kan ook helpen voorkomen dat de besmettelijke e-mails worden afgeleverd. Het kan ook geen kwaad om uw werknemers te trainen over de beste e-mailbeveiligingspraktijken!