Toename van malware, fraude en phishingaanvallen met feestdagen als thema
Met het vakantieseizoen in volle gang maken cybercriminelen gebruik van de belangstelling van mensen voor aanbiedingen, banen en eindejaarsbonussen. Onderzoek toont een toename van aanvallen met feestdagen als thema, gericht op het verspreiden van malware, fraude en phishingcampagnes om vertrouwelijke gegevens te bemachtigen.
Vliegen voor de feestdagen
Op 18 november identificeerden onderzoekers een “Winter Holiday Promotion”- campagne, zogenaamd afkomstig van een luchtvaartmaatschappij. De berichten, opgesteld in zowel Spaans als Engels, bevatten compressed executables die bij openen de Remcos RAT-malware installeerden. De campagne was kleinschalig en omvatte minder dan 100 berichten.
Afbeelding 1: “Vakantiepromotie” gethematiseerd lokmiddel dat Remcos RAT aflevert.
Merry Phishmas
De meeste feestdagen-gerelateerde campagnes die Proofpoint heeft waargenomen zijn phishingaanvallen die gericht zijn op het verkrijgen van vertrouwelijke gegevens. In een campagne die op 9 december begon, deden aanvallers zich voor als personeels- of salarisadministratie en verstuurden berichten over eindejaarsbonussen en "Xmas Employee Payroll".
Afbeelding 2: Phishinglokmiddel dat zich voordoet als HR-afdeling voor het versturen van berichten met een "Xmas"-thema.
De berichten in de campagne waren aangepast met het logo van de doelorganisatie of het Microsoft-logo. Ze bevatten Open Office XML (OOXML) bijlagen, die zowel het logo van de organisatie als een QR-code omvatten. Wanneer de QR-code werd gescand, leidde de URL naar een vervalste Microsoft-verificatiepagina.
Afbeelding 3: Voorbeeld van een phishingdocument, inclusief QR-code.
De phishingpagina voor inloggegevens toonde de Azure Active Directory (AAD) branding van de organisatie zodra een e-mailadres werd ingevoerd. Na invoer van het e-mailadres werden de inloggegevens van de gebruiker, het 2FA-token en een sessiecookie verzameld. Dit werd mogelijk gemaakt door de Adversary-in-the-Middle (AiTM)-techniek, die gebruikmaakt van de synchrone relay-mogelijkheden van het Tycoon Phishing-as-a-Service (PhaaS)-platform.
Proofpoint heeft meerdere campagnes waargenomen die feestdagen en bonussen als thema gebruikten om Tycoon credential phishing-URL's te verspreiden.
SakaiPages bonus- en feestdagen lokmiddel
Op 12 december 2024 identificeerden onderzoekers een AiTM phishingcampagne die gebruikmaakte van verschillende eindjaar en feestdagen-thema's. De berichten deden zich voor als afkomstig van het HR-team van het doelwit en bevatten onderwerpen met betrekking tot salarisadministratie en bonussen.
Afbeelding 4: SakaiPages credential phishing lokmiddel.
De berichten bevatten aangepaste Microsoft Word-bijlagen met een QR-code die gebruikers naar een valse Microsoft-verificatiepagina leidde. Wanneer een gebruiker zijn e-mail invoerde, deed de pagina zich voor als de AAD inlogpagina van de organisatie. De phishingpagina verzamelde gebruikersgegevens, 2FA-tokens en haalde sessiecookies via de SakaiPages phishingkit.
Baanaanbod tijdens feestdagen blijkt oplichterij
Op 10 december identificeerde Proofpoint een arbeidsfraudecampagne die zich voordeed als de non-profitorganisatie Project HOPE. De campagne probeerde werknemers te werven voor de “Community Liaison Agents” functie en benadrukte de mogelijkheid van “extra inkomen” voor de feestdagen. De e-mails werden verzonden door vermoedelijk gecompromitteerde afzenders, maar bevatten een contact e-mailadres in de hoofdtekst.
Afbeelding 5: Lokmiddel die zich voordoet als Project Hope en reclame maakt voor banen voor de feestdagen.
Arbeidsfraude treedt op wanneer een dreigingsactor iemand probeert te werven met een frauduleus baanaanbod. Dreigingsactoren creëren valse vacatures om geld te stelen via advance fee fraud (AFF) of cryptocurrency, proberen persoonlijk identificeerbare informatie (PII) te verkrijgen, of werven mensen om onbewust deel te nemen aan illegale activiteiten zoals het witwassen van geld. In dit geval maakt de dreigingsactor gebruik van veelvoorkomende tactieken voor arbeidsfraude, gecombineerd met een lokmiddel dat goed aansluit bij de feestdagen.
Tijdens de feestdagen richten dreigingsactoren zich via social engineering op mensen die op zoek zijn naar cadeaus, aanbiedingen of financiële bonussen, of die werkgerelateerde aankondigingen verwachten. Ze creëren verleidelijke lokmiddelen die inspelen op de haast en de bereidheid van mensen om geld uit te geven of informatie te delen, wat leidt tot risicovolle online keuzes.
Klik hier voor het volledige onderzoek.