21 december 2015 -
Intel Security heeft het nieuwe McAfee Labs Threats Report: November 2015 gepubliceerd. Het rapport laat zien dat er in Q3 iets minder nieuwe malware is ontdekt dan in de voorgaande kwartalen.
Maar tegelijkertijd wijst het op een sterke comeback van een inmiddels wat vergeten cyberdreiging: macromalware. In een jaar tijd is het aantal nieuwe macromalware-varianten dat door McAfee Labs is waargenomen, gegroeid naar het hoogste niveau sinds 2009. Ook zien de onderzoekers dat cybercriminelen gebruik beginnen te maken van malware die zich niet in traditionele bestanden nestelt, maar in andere onderdelen van de computer. Bijvoorbeeld in het geheugen of het Windows-register, waarbij tevens alle sporen van de malware uit het bestandssysteem worden gewist. Daardoor is deze vorm van malware zeer moeilijk te detecteren door traditionele beveiligingsmiddelen. Opvallend is ook dat Mac-gebruikers een interessanter doelwit zijn gaan vormen in Q3. Er is in het afgelopen kwartaal maar liefst vier keer zo veel nieuwe malware voor Mac waargenomen door de onderzoekers van McAfee Labs dan in Q2.
De terugkeer van macromalware
In het derde kwartaal van dit jaar zagen de onderzoekers van McAfee Labs de totale hoeveelheid nieuwe malwarevarianten met 4 procent afnemen ten opzichte van het voorgaande kwartaal. De hoeveelheid nieuwe macromalware is het afgelopen jaar echter sterk toegenomen, van iets minder dan 10.000 varianten in Q3 2014 tot bijna 45.000 in Q4 van dit jaar. Macromalware werd vooral aangetroffen in Noord-Amerika (44 procent) en Europa (29 procent) en wordt veelal via spam e-mails verspreid. In het verleden werden hiervoor vaak gedurende langere tijd e-mailberichten met besmette bestanden verzonden, waarbij hetzelfde e-mailonderwerp werd gebruikt. Daardoor konden deze berichten relatief makkelijk gedetecteerd en geblokkeerd worden. Nu duren deze spamcampagnes vrij kort en maken ze gebruik van telkens wisselende e-mailteksten en legitiem ogende onderwerpregels - zoals ‘Factuur’ of ‘Betalingsherinnering’ - waardoor ze lastiger te herkennen zijn. Macromalware verbergt zich in bijvoorbeeld Word-, Excel- of PowerPoint-bestanden. Bij het openen van een document met macromalware krijgt de gebruiker een melding met het verzoek de macrofunctionaliteit in te schakelen om de content te kunnen zien. Wanneer hij dat doet, wordt de macromalware actief. Vaak wordt macromalware gebruikt om andere, schadelijkere malware te downloaden naar het systeem van een slachtoffer. McAfee Labs heeft voorbeelden ontdekt waarbij ransomware en kassamalware werden gedownload.
Goede voorlichting
De belangrijkste verdediging tegen macromalware is goede voorlichting van gebruikers over deze dreiging. Ook kunnen e-mailservers en virusscanners zo worden ingesteld dat ze e-mails met macro’s blokkeren.
Bestandloze malware
Het gebruik van zogenaamde ‘bestandloze’ malware is geen nieuw fenomeen. Deze vorm van malware onderscheidt zich door het feit dat het zich niet nestelt in normale computerbestanden, maar bijvoorbeeld in het geheugen van de computer of in het Windows Register. Oudere vormen van deze malware lieten over het algemeen nog wel een spoor achter, vaak in de vorm van een klein binair bestand. Nieuwere varianten – zoals Kovter, Powelike en XswKit - wissen echter hun sporen uit en zijn daardoor zeer moeilijk te detecteren. Tegelijkertijd maken ze gebruik van krachtige systeemfuncties zoals Windows Management Instrumentation (WMI) en Windows PowerShell om aanvallen uit te voeren, zonder dat daarbij ergens een bestand hoeft te worden opgeslagen. Hoewel nieuwe vormen van bestandloze malware vooral eind 2014 en begin 2015 veel door McAfee Labs werden waargenomen, zijn er in de rest van dit jaar ook nieuwe varianten ontdekt.
Mac-gebruikers in het vizier van malwareauteurs
Mac-gebruikers waanden zich lange tijd relatief veilig voor de enorme golf aan malware die al sinds jaren PC-gebruikers en Android-gebruikers teistert. De toenemende populariteit van de Mac lijkt er nu echter voor te zorgen dat ook dit platform een aantrekkelijk doelwit is geworden voor malwareauteurs. McAfee Labs zag in Q3 maar liefst vier maal zo veel nieuwe Mac-malwarevarianten als in het voorgaande kwartaal. De totale hoeveelheid malware voor Mac is echter nog altijd aanzienlijk lager dan voor de PC of voor Android.
Het volledige McAfee Labs Threats Report: November 2015 is hier te downloaden.