Cybercriminelen versturen C&C-verkeer via Slack, Discord en Telegram
Cybercriminelen misbruiken legitieme chatdiensten als Slack, Discord en Telegram als Command & Control (C&C)-infrastructuur voor het aansturen van malware. Dit is extra interessant voor cybercriminelen, aangezien het voor bedrijven zeer moeilijk is malafide communicatie via dergelijke diensten te blokkeren zonder ook legitieme communicatie te blokkeren.
Dit melden onderzoekers van beveiligingsbedrijf Trend Micro in een blogpost. Traditioneel gebruiken cybercriminelen onder andere e-mail en het protocol Internet Relay Chat (IRC) om C&C-verkeer van en naar besmette systemen te faciliteren. Trend Micro meldt echter een toenemende verschuiving te zien naar diensten als Slack, Discord en Telegram.
API’s misbruiken
Cybercriminelen maken hierbij misbruik van de application programming interfaces (API’s) die deze bedrijven beschikbaar stellen. Dergelijke API’s maken het mogelijk diensten als Slack, Discord en Telegram te integreren met op maat gemaakte bedrijfsapplicaties en applicaties van derden, wat kan helpen de productiviteit van werknemers verder te vergroten. Deze API’s kunnen echter ook worden misbruikt door cybercriminelen om de diensten in te zetten voor C&C-verkeer.
Trend Micro meldt incidenten ‘in het wild’ te hebben gedetecteerd waarbij enkele ransomware varianten gebruik maken van dergelijke C&C-infrastructuur. Een voorbeeld is TeleCrypt, die gebruik maakt van Telegram om met zijn maker te communiceren dat een nieuw systeem succesvol is geïnfiltreerd. Ook verstuurt de ransomware informatie over betalingen en de decryptie van bestanden via Telegram naar zijn maker.
Niet te onderscheiden van legitieme communicatie
Het is volgens Trend Micro niet mogelijk onderscheid te maken tussen legitiem en malafide gebruik van dergelijke diensten. Dit maakt de aanpak van dit soort C&C-verkeer zeer moeilijk, wat cybercriminelen in de kaart speelt. Trend Micro wijst erop dat bedrijven zich vooral kunnen wapenen tegen dergelijke aanvallen door te voorkomen dat malware zich op bedrijfssystemen kunnen nestelen. Het bedrijf adviseert hiervoor een beveiligingsoplossing in te zetten die zowel het netwerk als endpoints beveiligd.
Technische details over de bevindingen van Trend Micro zijn te vinden in de onderzoekspaper ‘How Cybercriminals Abuse Chat Program APIs as Command-and-Control Infrastructure’.
Dossiers
Meer over
Lees ook
BIOS-malware kan 80% van alle PC’s besmetten
Nagenoeg alle PC’s blijken vatbaar te zijn voor malware door kwetsbaarheden in het BIOS. Beveiligingsonderzoekers hebben een proof-of-concept ontwikkeld van malware waarmee zij claimen 80% van alle PC’s wereldwijd te kunnen infecteren. De malware is actief op BIOS-niveau. De software kan daardoor iedere machine besmette, ongeacht het besturingssys1
FixMeStick aide les consommateurs à éliminer eux-mêmes le malware tenace
FixMeStick lance une solution éponyme, un stick USB qui détecte les virus et les logiciels malveillants et les élimine. La solution se veut simple et facile à utiliser. FixMeStick tourne sur son propre système d’exploitation et peut de ce fait également éliminer des virus qui s’attaquent au ‘master boot’. Dès que le système d’exploitation est déma1
FixMeStick helpt consumenten hardnekkig malware zelfstandig te verwijderen
FixMeStick introduceert de gelijknamige oplossing, een USB-stick die virussen en malware detecteert en verwijderd. Eenvoud en gebruiksgemak staat bij de USB-stick centraal. De FixMeStick draait op zijn eigen besturingssysteem en kan hierdoor ook virussen verwijderen die de master boot record aantasten. Zodra het eigen besturingssysteem is opgestar1