Po raz pierwszy od trzech lat pliki pakietu Microsoft Office nie są już najczęstszym typem plików do dystrybucji złośliwego oprogramowania. Tak wynika z najnowszego raportu HP Wolf Security Threat Insights (otwiera się w nowej karcie) za trzeci kwartał 2022 r.
Analizując dane z „milionów punktów końcowych”, na których działa jego rozwiązanie cyberbezpieczeństwa, HP doszedł do wniosku, że pliki archiwów (na przykład pliki .ZIP i .RAR) wyprzedzają pliki pakietu Office i stają się najpowszechniejszym sposobem dystrybucji złośliwego oprogramowania.
W rzeczywistości 44% całego złośliwego oprogramowania opublikowanego w trzecim kwartale 2022 r. korzystało z tego formatu, co stanowi wzrost o 11% w stosunku do drugiego kwartału. Z drugiej strony pliki pakietu Office stanowiły 32% wszystkich dystrybucji złośliwego oprogramowania.
omijanie zabezpieczeń
HP odkrył również, że skompresowane pliki były często łączone z techniką przemytu HTML, w której cyberprzestępcy umieszczali złośliwe skompresowane pliki w plikach HTML, aby uniknąć wykrycia przez rozwiązania zabezpieczające pocztę e-mail.
„Pliki można łatwo zaszyfrować, co pomaga hakerom ukryć złośliwe oprogramowanie i uniknąć serwerów proxy, piaskownic lub skanerów poczty e-mail” — powiedział Alex Holland, starszy analityk złośliwego oprogramowania w zespole HP Wolf Security Threat Research.
„To sprawia, że ataki są trudne do wykrycia, zwłaszcza w połączeniu z technikami przemytu HTML”.
Holland wykorzystał jako przykłady ostatnie kampanie QakBot i IceID. W tych kampaniach pliki HTML były wykorzystywane do kierowania ofiar do fałszywych przeglądarek dokumentów online, gdzie ofiary były zachęcane do otwarcia pliku .ZIP i odblokowania go za pomocą hasła. To mogłoby zainfekować twoje terminale złośliwym oprogramowaniem.
„To, co było interesujące w kampaniach QakBot i IceID, to wysiłek włożony w tworzenie fałszywych stron – te kampanie były bardziej przekonujące niż jakiekolwiek, które widzieliśmy wcześniej, przez co ludziom trudniej było wiedzieć, którym plikom mogą, a którym nie ufać”. dodał Holender.
HP powiedział również, że cyberprzestępcy rozwinęli swoją taktykę, aby opracować „złożone kampanie” z modułowym łańcuchem infekcji.
Pozwala im to zmieniać rodzaj złośliwego oprogramowania dostarczanego w trakcie kampanii, w zależności od sytuacji. Oszuści mogą dostarczać oprogramowanie szpiegowskie, ransomware lub narzędzia do kradzieży informacji, używając tych samych taktyk infekcji.
Według naukowców najlepszym sposobem ochrony przed tymi atakami jest przyjęcie podejścia bezpieczeństwa Zero Trust.
„Postępując zgodnie z zasadą cienkiej izolacji Zero Trust, organizacje mogą korzystać z mikrowirtualizacji, aby mieć pewność, że potencjalnie złośliwe zadania, takie jak klikanie łączy lub otwieranie złośliwych załączników, są wykonywane na jednorazowej maszynie wirtualnej, oddzielnej od systemów bazowych” — powiedział dr Ian Pratt , globalny szef HP ds. bezpieczeństwa systemów osobistych.
„Ten proces jest całkowicie niewidoczny dla użytkownika i zatrzymuje ukryte w nim złośliwe oprogramowanie, uniemożliwiając atakującym dostęp do poufnych danych i uniemożliwiając im uzyskanie dostępu i przesunięcie w bok”.