Cybercriminelen kiezen weer steeds vaker voor macromalware

In het derde kwartaal van 2015 is iets minder malware ontdekt dan in voorgaande kwartalen. Een nieuwe, inmiddels wat vergeten cyberdreiging, maakt echter een comeback: micromalware. Het aantal waargenomen nieuwe macromalware-varianten is in een jaar tijd gegroeid naar het hoogste niveau sinds 2009.

Dit blijkt uit het McAfee Labs Threats Report: November 2015 van Intel Security. De onderzoekers van het bedrijf zien dat cybercriminelen gebruik beginnen te maken van malware die zich niet in traditionele bestanden nestelt, maar in andere onderdelen van de computer. Denk hierbij aan het geheugen of het Windows-register, waarbij tevens alle sporen van de malware uit het bestandssysteem worden gewist. Daardoor is deze vorm van malware moeilijk te detecteren door traditionele beveiligingsmiddelen. Opvallend is ook dat Mac-gebruikers een interessanter doelwit zijn gaan vormen in Q3. Er is in het afgelopen kwartaal maar liefst vier keer zo veel nieuwe malware voor Mac waargenomen door de onderzoekers van McAfee Labs dan in Q2.

De terugkeer van macromalware

In het derde kwartaal van dit jaar zagen de onderzoekers van McAfee Labs de totale hoeveelheid nieuwe malwarevarianten met 4% afnemen ten opzichte van het voorgaande kwartaal. De hoeveelheid nieuwe macromalware is het afgelopen jaar echter sterk toegenomen, van iets minder dan 10.000 varianten in Q3 2014 tot bijna 45.000 in Q4 van dit jaar. Macromalware werd vooral aangetroffen in Noord-Amerika (44%) en Europa (29%) en wordt veelal via spam e-mails verspreid. In het verleden werden hiervoor vaak gedurende langere tijd e-mailberichten met besmette bestanden verzonden, waarbij hetzelfde e-mailonderwerp werd gebruikt. Daardoor konden deze berichten relatief makkelijk gedetecteerd en geblokkeerd worden. Nu duren deze spamcampagnes vrij kort en maken ze gebruik van telkens wisselende e-mailteksten en legitiem ogende onderwerpregels - zoals ‘Factuur’ of ‘Betalingsherinnering’ - waardoor ze lastiger te herkennen zijn.

Macromalware is een vorm van malware die wordt verborgen in bijvoorbeeld Word-, Excel- of PowerPoint-bestanden. Bij het openen van een document met macromalware krijgt de gebruiker een melding met het verzoek de macrofunctionaliteit in te schakelen om de content te kunnen zien. Wanneer hij dat doet, wordt de macromalware actief. Vaak wordt macromalware gebruikt om andere, schadelijkere malware te downloaden naar het systeem van een slachtoffer. McAfee Labs heeft voorbeelden ontdekt waarbij ransomware en kassamalware werden gedownload. De belangrijkste verdediging tegen macromalware is goede voorlichting van gebruikers over deze dreiging. Ook kunnen e-mailservers en virusscanners zo worden ingesteld dat ze e-mails met macro’s blokkeren.

Bestandloze malware

Het gebruik van zogenaamde ‘bestandloze’ malware is geen nieuw fenomeen. Deze vorm van malware onderscheidt zich door het feit dat het zich niet nestelt in normale computerbestanden, maar bijvoorbeeld in het geheugen van de computer of in het Windows Register. Oudere vormen van deze malware lieten over het algemeen nog wel een spoor achter, vaak in de vorm van een klein binair bestand. Nieuwere varianten – zoals Kovter, Powelike en XswKit - wissen echter hun sporen uit en zijn daardoor zeer moeilijk te detecteren.

Tegelijkertijd maken ze gebruik van krachtige systeemfuncties zoals Windows Management Instrumentation (WMI) en Windows PowerShell om aanvallen uit te voeren, zonder dat daarbij ergens een bestand hoeft te worden opgeslagen. Hoewel nieuwe vormen van bestandloze malware vooral eind 2014 en begin 2015 veel door McAfee Labs werden waargenomen, zijn er ook in de rest van dit jaar nieuwe varianten ontdekt.

Mac-gebruikers zijn vaker doelwit

Mac-gebruikers waanden zich lange tijd relatief veilig voor de enorme golf aan malware die al sinds jaren PC-gebruikers en Android-gebruikers teistert. De toenemende populariteit van de Mac lijkt er nu echter voor te zorgen dat ook dit platform een aantrekkelijk doelwit is geworden voor malwareauteurs. McAfee Labs zag in Q3 maar liefst vier maal zo veel nieuwe Mac-malwarevarianten als in het voorgaande kwartaal. De totale hoeveelheid malware voor Mac is echter nog altijd aanzienlijk lager dan voor de PC of voor Android.