Cybercriminelen perfectioneren klassieke aanvalstechnieken met nieuwe trucs die detectiesystemen steeds vaker te slim af zijn. Dat blijkt uit het nieuwste Threat Insights Report van HP Inc., waarin onderzoekers beschrijven hoe traditionele methoden als phishing en zogeheten living-off-the-land (LOTL)-aanvallen worden aangepast en verfijnd.
Bij LOTL-technieken maken aanvallers gebruik van legitieme software en functies die al op een computer aanwezig zijn, zoals PowerShell of CMD. Volgens HP wordt dit nu steeds vaker gecombineerd met ongebruikelijke bestandstypen, waardoor het verschil tussen normale en kwaadaardige activiteiten moeilijker te herkennen is.
Phishing
Een van de meest in het oog springende voorbeelden is een aanval met een nagemaakte Adobe Reader-factuur. Daarbij was een script verborgen in een kleine SVG-afbeelding, vermomd als een realistisch Adobe Acrobat-bestand met een nep-laadbalk. Zodra een slachtoffer het document opende, kreeg de aanvaller via een zogeheten reverse shell toegang tot het systeem. De campagne was bovendien beperkt tot Duitstalige regio’s om automatische detectie te bemoeilijken.
Pixeldata
Andere campagnes maakten gebruik van afbeeldingsbestanden waarin malware was verstopt. Microsoft Compiled HTML Help-bestanden werden bijvoorbeeld misbruikt om schadelijke code in pixeldata te verbergen. Zo werd de XWorm-malware via een meerstapsinfectie geïnstalleerd, waarbij LOTL-technieken werden ingezet en sporen na afloop werden gewist.
Daarnaast signaleert HP een heropleving van Lumma Stealer, een malwarefamilie die in het tweede kwartaal van 2025 tot de actiefste behoorde. Ondanks politie-ingrijpen in mei bleven aanvallers de software verspreiden via onder meer IMG-archiefbestanden.
Verfijning bestaande technieken
Volgens Alex Holland, principal threat researcher bij HP, draait het niet om compleet nieuwe aanvallen, maar om verfijning van bestaande technieken: “Aanvallers hoeven geen zware malware meer te plaatsen als een simpel script hetzelfde resultaat oplevert. Juist die eenvoud maakt het gevaarlijk.”
Het rapport toont ook bredere trends:
- 13 procent van de door HP Sure Click geïdentificeerde e-maildreigingen wist minstens één e-mailfilter te passeren.
- 40 procent van de kwaadaardige bestanden kwam via archieven binnen, gevolgd door executables en scripts (35 procent).
- Het veelgebruikte .rar-formaat blijft populair omdat het legitiem oogt en vaak met vertrouwde software als WinRAR wordt geopend.
Traditionele detectie
HP benadrukt dat traditionele detectie alleen niet meer volstaat. Door verdachte bestanden te isoleren en in beveiligde containers te laten detoneren, kan malware zichtbaar worden zonder schade aan te richten. Alleen al tussen april en juni 2025 werden via HP Wolf Security meer dan 55 miljard e-mailbijlagen, webpagina’s en downloads veilig verwerkt zonder datalek.
Conclusie
Cybercriminelen worden steeds slimmer en creatiever. Organisaties zullen hun beveiliging daarop moeten afstemmen, anders blijft één klik op een realistisch ogende factuur genoeg om een systeem te compromitteren.