Sinds het begin van dit jaar is er een aanzienlijke toename van malware-distributie via e-mails met Chinese lokmiddelen gedetecteerd door Proofpoint, een vooraanstaand bedrijf op het gebied van cybersecurity en naleving van voorschriften, zoals we hebben gelezen in Opensecurity. Onder de gedetecteerde dreigingen bevindt zich de Remote Access Trojan (RAT) genaamd Sainbox, die wordt geïdentificeerd als een variant van de bekende Gh0stRAT, en de recent ontdekte ValleyRAT-malware.
Deze e-mails richten zich meestal op zakelijke onderwerpen, zoals facturen, nieuwe producten en betalingen. De belangrijkste doelwitten van deze aanvallen zijn gebruikers die Chinees spreken en van wie de namen zijn geregistreerd met tekens uit de Chinese taal, evenals degenen die e-mails hebben van wereldwijde bedrijven met activiteiten in China. Ze zijn echter niet beperkt tot China, aangezien er ook een campagne in het Japans is geregistreerd gericht op organisaties in Japan, wat wijst op een mogelijke uitbreiding van het werkgebied van deze cybercriminelen.
Een gedetailleerde analyse van de tactieken, technieken en procedures die door deze criminelen worden gebruikt in hun Sainbox RAT- en ValleyRAT-distributiecampagnes heeft Proofpoint doen concluderen dat, hoewel ze overeenkomsten vertonen, ze niet kunnen worden toegeschreven aan één enkele groep cybercriminelen. Deze diversiteit geeft aan dat er een opkomende trend is onder bedreigingsactoren om malware met Chinese thema’s te gebruiken.
Wat betreft de werkwijzen van deze criminele groepen, is een breed scala aan technieken geregistreerd, variërend van basispraktijken tot relatief ingewikkelde procedures. De meest voorkomende strategie omvat e-mails met URL’s die de ontvangers doorverwijzen naar gecomprimeerde uitvoerbare bestanden, die vervolgens de malware op hun apparaten installeren. Ze beperken zich echter niet tot deze methode, aangezien er ook bijlagen in Excel en PDF zijn gedetecteerd met vergelijkbare links.
Het onderzoeksteam van Proofpoint waarschuwt voor deze opleving: “Het feit dat we een opleving zien van een Gh0stRAT-variant, een Trojan die al meer dan 10 jaar aanwezig is, doet ons nadenken over de persistentie van bepaalde bedreigingen”. En ze voegen eraan toe: “Hoewel het gebruikelijk is om te focussen op nieuwe en geavanceerdere bedreigingen, is het essentieel dat organisaties deze ogenschijnlijk eenvoudigere bedreigingen niet bagatelliseren. Hoewel de malware oud kan zijn, evolueren cybercriminelen voortdurend en passen ze hun tactieken aan, waardoor deze risico’s relevant en gevaarlijk blijven voor entiteiten.” Het is een oproep om waakzaam te blijven en cyberdreigingen in de gaten te blijven houden, ongeacht hun ouderdom of schijnbare eenvoud.