Schiphol,
16
december
2015
|
12:20
Europe/Amsterdam

McAfee Labs Threats Report wijst op terugkeer van macromalware

Samenvatting
  • Macromalware is bezig aan een sterke ‘comeback’: van minder dan 10.000 nieuwe varianten in Q3 2014 naar bijna 45.000 in Q3 2015
  • Bestandloze malware ontwijkt traditionele beveiligingsmiddelen door zichzelf te verbergen in het geheugen of het Windows Register en alle sporen te wissen uit het bestandssysteem
  • Mac-gebruikers steeds populairder doelwit voor malwareauteurs

Intel Security heeft het nieuwe McAfee Labs Threats Report: November 2015 gepubliceerd. Het rapport laat zien dat er in Q3 iets minder nieuwe malware is ontdekt dan in de voorgaande kwartalen. Maar tegelijkertijd wijst het op een sterke comeback van een inmiddels wat vergeten cyberdreiging: macromalware. In een jaar tijd is het aantal nieuwe macromalware-varianten dat door McAfee Labs is waargenomen, gegroeid naar het hoogste niveau sinds 2009. Ook zien de onderzoekers dat cybercriminelen gebruik beginnen te maken van malware die zich niet in traditionele bestanden nestelt, maar in andere onderdelen van de computer. Bijvoorbeeld in het geheugen of het Windows-register, waarbij tevens alle sporen van de malware uit het bestandssysteem worden gewist. Daardoor is deze vorm van malware zeer moeilijk te detecteren door traditionele beveiligingsmiddelen. Opvallend is ook dat Mac-gebruikers een interessanter doelwit zijn gaan vormen in Q3. Er is in het afgelopen kwartaal maar liefst vier keer zo veel nieuwe malware voor Mac waargenomen door de onderzoekers van McAfee Labs dan in Q2.

De terugkeer van macromalware

In het derde kwartaal van dit jaar zagen de onderzoekers van McAfee Labs de totale hoeveelheid nieuwe malwarevarianten met 4% afnemen ten opzichte van het voorgaande kwartaal. De hoeveelheid nieuwe macromalware is het afgelopen jaar echter sterk toegenomen, van iets minder dan 10.000 varianten in Q3 2014 tot bijna 45.000 in Q4 van dit jaar. Macromalware werd vooral aangetroffen in Noord-Amerika (44%) en Europa (29%) en wordt veelal via spam e-mails verspreid. In het verleden werden hiervoor vaak gedurende langere tijd e-mailberichten met besmette bestanden verzonden, waarbij hetzelfde e-mailonderwerp werd gebruikt. Daardoor konden deze berichten relatief makkelijk gedetecteerd en geblokkeerd worden. Nu duren deze spamcampagnes vrij kort en maken ze gebruik van telkens wisselende e-mailteksten en legitiem ogende onderwerpregels - zoals ‘Factuur’ of ‘Betalingsherinnering’ - waardoor ze lastiger te herkennen zijn. Macromalware verbergt zich in bijvoorbeeld Word-, Excel- of PowerPoint-bestanden. Bij het openen van een document met macromalware krijgt de gebruiker een melding met het verzoek de macrofunctionaliteit in te schakelen om de content te kunnen zien. Wanneer hij dat doet, wordt de macromalware actief. Vaak wordt macromalware gebruikt om andere, schadelijkere malware te downloaden naar het systeem van een slachtoffer. McAfee Labs heeft voorbeelden ontdekt waarbij ransomware en kassamalware werden gedownload.

De belangrijkste verdediging tegen macromalware is goede voorlichting van gebruikers over deze dreiging. Ook kunnen e-mailservers en virusscanners zo worden ingesteld dat ze e-mails met macro’s blokkeren.

Bestandloze malware

Het gebruik van zogenaamde ‘bestandloze’ malware is geen nieuw fenomeen. Deze vorm van malware onderscheidt zich door het feit dat het zich niet nestelt in normale computerbestanden, maar bijvoorbeeld in het geheugen van de computer of in het Windows Register. Oudere vormen van deze malware lieten over het algemeen nog wel een spoor achter, vaak in de vorm van een klein binair bestand. Nieuwere varianten – zoals Kovter, Powelike en XswKit - wissen echter hun sporen uit en zijn daardoor zeer moeilijk te detecteren. Tegelijkertijd maken ze gebruik van krachtige systeemfuncties zoals Windows Management Instrumentation (WMI) en Windows PowerShell om aanvallen uit te voeren, zonder dat daarbij ergens een bestand hoeft te worden opgeslagen. Hoewel nieuwe vormen van bestandloze malware vooral eind 2014 en begin 2015 veel door McAfee Labs werden waargenomen, zijn er in de rest van dit jaar ook nieuwe varianten ontdekt.

Mac-gebruikers in het vizier van malwareauteurs

Mac-gebruikers waanden zich lange tijd relatief veilig voor de enorme golf aan malware die al sinds jaren PC-gebruikers en Android-gebruikers teistert. De toenemende populariteit van de Mac lijkt er nu echter voor te zorgen dat ook dit platform een aantrekkelijk doelwit is geworden voor malwareauteurs. McAfee Labs zag in Q3 maar liefst vier maal zo veel nieuwe Mac-malwarevarianten als in het voorgaande kwartaal. De totale hoeveelheid malware voor Mac is echter nog altijd aanzienlijk lager dan voor de PC of voor Android.

Het volledige McAfee Labs Threats Report: November 2015 is te downloaden van http://www.mcafee.com/us/resources/reports/rp-quarterly-threats-nov-2015.pdf.

Over Intel Security

McAfee is nu onderdeel van Intel Security. Met zijn Security Connected-strategie, innovatieve benadering van beveiliging die door hardware wordt ondersteund en Global Threat Intelligence, focust Intel Security zich op het ontwikkelen van proactieve, bewezen beveiligingsoplossingen en -diensten die systemen, netwerken en mobiele toestellen van bedrijven en eindgebruikers over de hele wereld beschermen. Intel Security combineert de ervaring en expertise van McAfee met de innovatiekracht en bewezen prestaties van Intel om van beveiliging een essentieel onderdeel van iedere architectuur en ieder automatiseringsplatform te maken. Het is de missie van Intel Security om iedereen het vertrouwen te schenken om veilig te leven en te werken in een digitale wereld. Kijk voor meer informatie op www.intelsecurity.com.

Contactpersonen voor de pers

MCS PR, Intel Security Persdesk, e-mail intelsecurity@mcspr.nl, tel. 023 - 562 8208.

OPMERKING: Intel en het Intel logo zijn gedeponeerde handelsmerken van Intel Corporation in de Verenigde Staten en/of andere landen. McAfee, McAfee LiveSafe en het McAfee logo zijn gedeponeerde handelsmerken van McAfee Inc. of zijn dochterondernemingen in de Verenigde Staten en/of andere landen.

* Alle andere gedeponeerde en niet-gedeponeerde handelsmerken in dit document zijn het eigendom van hun respectieve eigenaren.

© 2015 Intel Corporation