Pdf is met ruime voorsprong de belangrijkste e-maildrager voor malware. Ook html blijkt een extensie die vaak wordt aangehaald als gevaarlijk bestandstype. De ene specialist wijst naar pdf, de andere naar html. Hoe zit dat precies?
‘Pdf-documenten het populairst voor malware.’ Zo titelde Palo Alto Networks in een recent persbericht. Hackers gebruiken in twee op de drie gevallen een vals pdf-document om hun malware in te verstoppen. Dat blijkt uit het Network Threat Report van hun Unit 42-onderzoekstak. Onder het voorwendsel van een of andere financiële transactie krijgt de e-mailbijlage vaak de weinig originele naam factuur_AUG_4601582.pdf of Updated_budget_0623.
Bijlages in .rar- of .exe-formaat boeken, volgens de onderzoekers, dan weer minder snel succes omdat de gebruikers minder vertrouwd zijn met het documenttype. Pdf wordt als formaat gevolgd door varianten van extensies voor Excel-documenten, zoals .xls en .xlsx, ergens tussen de zes en tien procent van de gevallen.
Html
Al valt het htm-formaat natuurlijk ook niet te onderschatten. Zo stuurde Barracuda in maart 2023 nog het bericht de wereld in dat html ‘nog altijd het gevaarlijkste bestandstype is’. Bijna de helft van alle html-bijlagen is volgens hen schadelijk. Dat was twee maal zo veel als in dezelfde periode vorig jaar. ‘Html is en blijft een succesvol en populair aanvalsmiddel’, oppert Fleming Shi, chief technology officer bij Barracuda.
Zo wordt html niet alleen gebruikt voor websites en andere online content, maar ook vaak in e-mails – bijvoorbeeld in geautomatiseerde nieuwsbrieven of marketingmateriaal. Ook worden allerlei rapporten vaak in html-formaat (bijvoorbeeld met de bestandsextensie .html, .htm of .xhtml) als bijlage met een e-mail meegestuurd. ‘Aanvallers gebruiken html ook als onderdeel van een phishingaanval om logingegevens te stelen of om malware te versturen.’
Insteek
Bij Palo Alto en Unit42 staat html als bestandstype niet in hun lijst van aanvalsmiddelen. Hoe komt dat? ‘Wij hebben ons gericht op bijlagen die niet op tekst gebaseerd zijn, zoals pdf, uitvoerbare binaire bestanden en Office-bestanden’, klinkt het als we het Unit42-onderzoeksteam hierop aanspreken. Of hoe hun insteek anders is. ‘Het gaat bij ons om bestanden die complexe gegevensstructuren, opmaak of uitvoerbare code kunnen bevatten die verder gaat dan alleen tekstuele inhoud. Ze vereisen vaak specifieke softwaretoepassingen of tools om ze te openen, te bekijken, te bewerken of uit te voeren. In tegenstelling tot tekstbestanden kunnen ze multimedia-elementen, ingesloten objecten of complexe bestandsstructuren bevatten’, klinkt het.
Naast het analyseren van de vehikels voor die kwaadaardige software, is er ten slotte ook de malware zelf. Die zijn doorgaans varianten op vorige programma’s en kunnen dus worden ingedeeld in grote families. De populairste malware familie gaat, volgens Palo Alto Network, in 2022 naar Ramnit, een computerworm die zichzelf kan kopiëren en al miljoenen slachtoffers wereldwijd heeft gemaakt. Ramnit is goed voor 1,05 procent van alle malware-vormen, gevolgd door Wapomi (0,74) en Emotet (0,52).