Ga naar inhoud
  • Drifter

    Door Drifter

    Drifter

    Door Drifter

    Een nieuwe phishingcampagne maakt misbruik van legitieme software om bedrijfscomputers over te nemen

    Beveiligingsonderzoekers van Microsoft hebben via hun Defender Experts-team een dreigingsrapport gepubliceerd waarin een van de meest geraffineerde phishingoperaties van de afgelopen tijd wordt blootgelegd. Wat deze campagne zo opvallend maakt, is dat de aanvallers geen gebruik maakten van geavanceerde zero-day-kwetsbaarheden of complexe exploits. In plaats daarvan bouwden ze een overtuigend ecosysteem rond legitieme technologie, officiële certificaten en bestaande IT-beheertools.

    De aanval begint ogenschijnlijk onschuldig

    De campagne start met zorgvuldig opgestelde phishingmails. Slachtoffers ontvangen bijvoorbeeld nepvergaderverzoeken, PDF-documenten of links die lijken te verwijzen naar updates van bekende software zoals Microsoft Teams, Zoom, Google Meet of Adobe Reader.

    Wanneer een gebruiker op zo’n link klikt om een “update” te downloaden, installeert hij in werkelijkheid malware. Op zichzelf is dat niet nieuw. Wat deze aanval uitzonderlijk maakt, is dat de schadelijke bestanden digitaal waren ondertekend met een zogenoemd Extended Validation-certificaat (EV-certificaat).

    Misbruik van een EV-certificaat

    De malware was ondertekend met een EV-certificaat dat was uitgegeven aan een ogenschijnlijk legitiem bedrijf genaamd TrustConnect Software PTY LTD. EV-certificaten worden alleen verstrekt na een streng identiteitsverificatieproces door een certificaatautoriteit. Hierdoor beschouwen beveiligingsmechanismen zoals Windows SmartScreen en veel antivirusoplossingen bestanden met zo’n handtekening standaard als betrouwbaar.

    Dat betekent concreet dat wanneer een gebruiker het bestand downloadt, het systeem nauwelijks waarschuwingen geeft. De digitale handtekening wekt vertrouwen — precies waar de aanvallers op rekenden.

    Na installatie voert de malware meerdere stappen uit om persistentie te garanderen:

    • Kopiëren van zichzelf naar de map Program Files om op legitieme software te lijken
    • Registratie als Windows-service
    • Aanmaken van een Run-sleutel in het Windows-register zodat het programma automatisch opstart bij het inschakelen van de computer

    Vanaf dat moment heeft de aanvaller een stabiele foothold in het systeem.

    Legitieme beheertools als aanvalswapen

    Na de initiële infectie gebruikt de malware versleutelde PowerShell-commando’s om legitieme Remote Monitoring & Management (RMM)-tools te installeren, waaronder:

    • ScreenConnect
    • Tactical RMM
    • Mesh Agent

    Dit zijn tools die IT-afdelingen wereldwijd dagelijks gebruiken om systemen te beheren, updates uit te voeren en ondersteuning te bieden. Omdat deze software normaal gesproken binnen bedrijfsnetwerken wordt ingezet, valt het netwerkverkeer nauwelijks op.

    De aanvallers installeren soms meerdere RMM-tools tegelijk. Mocht een beveiligingsteam er één detecteren en verwijderen, dan blijft de toegang via een andere tool bestaan. Zo bouwen zij redundantie in hun aanval.

    Met volledige externe toegang kunnen aanvallers:

    • Interne servers doorzoeken
    • Intellectueel eigendom stelen
    • Klant- en financiële gegevens exfiltreren
    • Lateraal bewegen naar andere systemen
    • Uiteindelijk zelfs de domeincontroller compromitteren

    In feite krijgen ze dezelfde rechten als een interne systeembeheerder.

    Hoe kwamen ze aan een EV-certificaat?

    Beveiligingsbedrijf Proofpoint ontdekte dat het certificaat niet was gestolen. De aanvallers richtten simpelweg een schijnbedrijf op: TrustConnect Software PTY LTD.

    Ze creëerden een volledige bedrijfsidentiteit, inclusief:

    • Een professioneel ogende website
    • Gefabriceerde klantrecensies
    • Verzonnen statistieken
    • Een geloofwaardig bedrijfsverhaal

    Met behulp van AI werd een overtuigende online aanwezigheid opgebouwd. Vervolgens vroeg het nepbedrijf legaal een EV-certificaat aan. Een certificaatautoriteit voerde de gebruikelijke controle uit en keurde de aanvraag goed.

    Met een officieel, vertrouwd certificaat in handen beschikten de aanvallers over een krachtig wapen.

    Malware-as-a-Service (MaaS)

    In plaats van de malware alleen zelf te gebruiken, transformeerden de operators TrustConnect in een commerciële dienst. Via hun website boden zij hun digitaal ondertekende malware aan als abonnementsdienst.

    Voor ongeveer 300 dollar per maand — te betalen in cryptocurrency — kregen klanten toegang tot:

    • Vooraf ondertekende malwarepayloads
    • Command-and-control-infrastructuur
    • Beheerpaneel voor infecties

    Dit model staat bekend als Malware-as-a-Service (MaaS). Net zoals legitieme SaaS-bedrijven software verhuren, verhuren cybercriminelen complete aanvalspakketten. Hierdoor hoeven klanten zelf geen malware te ontwikkelen; sociale manipulatie volstaat.

    Intrekking van het certificaat — maar niet zonder gevolgen

    In samenwerking met een groep onderzoekers genaamd The Cert Graveyard wist Proofpoint het misbruikte EV-certificaat op 6 februari officieel te laten intrekken.

    Er is echter een belangrijk probleem: de intrekking werd niet met terugwerkende kracht toegepast. Dat betekent dat malware die vóór de intrekking met het certificaat is ondertekend, nog steeds als geldig en vertrouwd kan worden beschouwd door Windows-systemen.

    Hoewel de TrustConnect-website geen nieuwe abonnees meer accepteert, verdwenen de aanvallers niet. Vrijwel direct daarna begonnen zij met het testen van een nieuwe malwarevariant genaamd DocConnect.

    Een nieuwe evolutie: DocConnect

    Volgens onderzoekers is DocConnect een verbeterde versie van de eerdere malware, met onder andere:

    • Geavanceerdere command-and-control-functionaliteit
    • Betere realtime communicatie
    • Verbeterd beheerpaneel
    • Misleidingstechnieken zoals nep-Windows Update-schermen

    Dit onderstreept een bredere realiteit: zodra één infrastructuur wordt ontmanteld, verschijnt er vaak een nieuwe variant. Cybercriminaliteit is een adaptief ecosysteem.

    Wat betekent dit voor organisaties?

    Deze campagne laat zien dat digitale handtekeningen en vertrouwde certificaten geen absolute garantie bieden. Aanvallers maken steeds vaker misbruik van legitieme infrastructuur, bestaande beheertools en zakelijke processen.

    Organisaties doen er goed aan om:

    • Strikte controle uit te voeren op installatie van RMM-software
    • PowerShell-activiteiten actief te monitoren
    • Zero-trust-principes toe te passen
    • Applicatie-whitelisting zorgvuldig te configureren
    • Medewerkers continu te trainen in phishingherkenning

    Voor individuele gebruikers blijft de kernboodschap simpel: download alleen software via officiële kanalen en wees extra alert op onverwachte updates of vergaderverzoeken.

    Deze campagne toont aan dat cybercriminelen niet altijd nieuwe kwetsbaarheden nodig hebben. Soms is vertrouwen zelf het zwakste punt in de keten.

    Door: Drifter

    Ga naar articles

    Feedback Gebruiker

    Aanbevolen Reacties

    Er zijn geen reacties om weer te geven.



    Log in om te reageren

    Je kunt een reactie achterlaten na het inloggen



    Login met de gegevens die u gebruikt bij softtrack

×
×
  • Nieuwe aanmaken...