Om ransomware, virussen of spyware in de systemen van bedrijven en organisaties te verspreiden, ontwikkelen cybercriminelen voortdurend nieuwe methodes: ze richten zich nu op een eenvoudige maar zeer effectieve manier, waarbij hun gedistribueerde malware die aan een e-mail gekoppeld is, antivirusscans kan omzeilen. Het besmette gekoppelde document is gecodeerd met een wachtwoord, waardoor wordt voorkomen dat filtermechanismen van antivirusprogramma’s de verborgen malware detecteren.
De huidige dreigingssituatie vereist een update van de bestaande filtermechanismen: ” Malicious Document Decryption ” voldoet perfect aan deze vereisten.
Slechts een paar weken geleden rapporteerden we over een ” fake application mail ” gericht op HR-afdelingen bij bedrijven. Deze aanval werd uitgevoerd door de ransomware GandCrab 5.2. Het Hornetsecurity Security Lab detecteert nog steeds inkomende kwaadwillende e-mails met gecodeerde en met malware besmette bijlagen. Het wachtwoord voor het decoderen van het schadelijke bestand is zichtbaar voor de ontvanger in het bericht van de e-mail. Het decoderen van de bijlage downloadt echter het verborgen virus en infecteert het computersysteem.
“Malicious Document Decryption” voegt een extra elementaire functie toe aan Advanced Threat Protection om de toenemende dreiging van verborgen malware te voorkomen. E-mails met gecodeerde bijlagen worden geanalyseerd op potentiële wachtwoorden in de e-mail om de bijlage in de sandbox te decoderen. Het bestand wordt vervolgens gescand met behulp van statische en dynamische analysemethoden en het gedrag van het bestand wordt tijdens de uitvoering onderzocht. Dit maakt het mogelijk om malware in gecodeerde bestanden te detecteren en de bijbehorende e-mails te blokkeren voordat ze de ontvanger bereiken.
De feature “Malicious Document Decryption” decodeert alle gecodeerde Microsoft Office-bestandstypen en wordt uitgebreid om PDF- en archiefbestanden (RAR, ZIP, enz.) te ontsleutelen.
Sinds begin juni is “Malicious Document Decryption” opgenomen in de ATP-service en al geactiveerd voor alle bestaande ATP-klanten ..
ATP update – Introductie van de nieuwe feature Malicious Document Decryption
