أنواع الملفات هذه هي الأكثر استخدامًا من قبل المتسللين لإخفاء برامجهم الضارة

تجاوزت ملفات ZIP و RAR مستندات Office باعتبارها الملف الأكثر استخدامًا من قبل مجرمي الإنترنت لتقديم برامج ضارة ، وفقًا لتحليل الهجمات الإلكترونية في العالم الحقيقي والبيانات التي تم جمعها من ملايين أجهزة الكمبيوتر. 

البحث، استنادًا إلى بيانات العملاء بواسطة HP Wolf Security، وجد في الفترة ما بين يوليو وسبتمبر من هذا العام ، أن 42٪ من محاولات إيصال هجمات البرمجيات الخبيثة استخدمت القوسhive تنسيقات الملفات ، بما في ذلك ZIP و RAR.  

وهذا يعني أن الهجمات الإلكترونية التي تحاول استغلال تنسيقات ZIP و RAR أكثر شيوعًا من تلك التي تحاول تقديم برامج ضارة باستخدام مستندات Microsoft Office مثل ملفات Microsoft Word و Microsoft Excel ، والتي لطالما كانت الطريقة المفضلة لجذب الضحايا إلى تنزيل البرامج الضارة. 

وفقًا للباحثين ، هذه هي المرة الأولى منذ أكثر من ثلاث سنواتhive تجاوزت الملفات ملفات Microsoft Office باعتبارها الوسيلة الأكثر شيوعًا لإيصال البرامج الضارة. 

عن طريق تشفير الحمولات الضارة وإخفائها داخل القوسhive من الملفات ، فهو يوفر للمهاجمين طريقة لتجاوز العديد من إجراءات الحماية الأمنية. 

"قوسhiveيسهل تشفيرها ، مما يساعد الجهات الفاعلة في التهديد على إخفاء البرامج الضارة والتهرب من وكلاء الويب أو صناديق الحماية أو أدوات فحص البريد الإلكتروني. قال أليكس هولاند ، كبير محللي البرامج الضارة في فريق أبحاث التهديدات HP Wolf Security ، إن هذا يجعل اكتشاف الهجمات أمرًا صعبًا ، لا سيما عندما تقترن بتقنيات تهريب HTML. 

أيضا: الأمن السيبراني: هذه هي الأشياء الجديدة التي يجب القلق بشأنها في عام 2023

في كثير من الحالات ، يقوم المهاجمون بصياغة رسائل بريد إلكتروني احتيالية تبدو وكأنها تأتي من علامات تجارية معروفة وموفري خدمات عبر الإنترنت ، والتي تحاول خداع المستخدم لفتح وتشغيل ملف ZIP أو RAR الضار.  

يتضمن ذلك استخدام ملفات HTML الضارة في رسائل البريد الإلكتروني التي تتنكر كمستندات PDF - والتي إذا تم تشغيلها ، تظهر عارض مستندات مزيفًا عبر الإنترنت يقوم بفك تشفير ZIP archive. إذا تم تنزيله بواسطة المستخدم ، فسوف يصيبه ببرامج ضارة. 

وفقًا لتحليل HP Wolf Security ، أحد أكثر حملات البرامج الضارة شهرة والتي تعتمد الآن على ZIP archives وملفات HTML الخبيثة هي Qakbot - وهي عائلة برامج ضارة لا تُستخدم فقط لسرقة البيانات ، بل تُستخدم أيضًا كباب خلفي لنشر برامج الفدية. 

عاد Qakbot إلى الظهور في سبتمبر ، مع إرسال رسائل خبيثة عبر البريد الإلكتروني ، تدعي أنها مرتبطة بوثائق على الإنترنت يجب فتحها. إذا كان القوسhive تم تشغيله ، واستخدم أوامر ضارة لتنزيل الحمولة وتنفيذها في شكل مكتبة ارتباط ديناميكي ، ثم تم إطلاقها باستخدام أدوات شرعية - ولكن يساء استخدامها بشكل شائع - في Windows. 

بعد ذلك بوقت قصير ، بدأ مجرمو الإنترنت الذين يوزعون IcedID - وهو شكل من أشكال البرامج الضارة التي تم تثبيتها لتمكين هجمات برامج الفدية اليدوية التي يديرها الإنسان - في استخدام نموذج مطابق تقريبًا للنموذج الذي يستخدمه Qakbot لإساءة استخدام archive لخداع الضحايا لتنزيل برامج ضارة.  

بذلت كلتا الحملتين جهدًا لضمان أن رسائل البريد الإلكتروني وصفحات HTML المزيفة تبدو شرعية لخداع أكبر عدد ممكن من الضحايا. 

قال هولاند: "ما كان مثيرًا للاهتمام في حملات QakBot و IcedID هو الجهد المبذول لإنشاء الصفحات المزيفة - كانت هذه الحملات أكثر إقناعًا مما رأيناه من قبل ، مما جعل من الصعب على الأشخاص معرفة الملفات التي يمكنهم الوثوق بها والتي لا يمكنهم الوثوق بها". 

أيضا: فيروسات الفدية: لماذا لا يزال يمثل تهديدًا كبيرًا ، وإلى أين تتجه العصابات بعد ذلك

كما شوهدت مجموعة برامج الفدية تسيء استخدام ملفات ZIP و RAR بهذه الطريقة. وفقًا لـ HP Wolf Security ، استهدفت حملة نشرتها مجموعة Magniber ransomware المستخدمين المنزليين بهجمات تقوم بتشفير الملفات وتطلب 2,500 دولار من الضحايا.  

في هذه الحالة ، تبدأ العدوى بالتنزيل من موقع ويب يتحكم فيه المهاجم ويطلب من المستخدمين تنزيل قوس ZIPhive يحتوي على ملف JavaScript يُزعم أنه أحد برامج مكافحة الفيروسات المهمة أو تحديث برنامج Windows 10. إذا تم تشغيله وتنفيذه ، فإنه يقوم بتنزيل برنامج الفدية وتثبيته. 

قبل حملة Magniber الأخيرة ، تم نشر برنامج الفدية من خلال ملفات MSI و EXE - ولكن مثل الجماعات الإجرامية الإلكترونية الأخرى ، فقد لاحظوا النجاح الذي يمكن تحقيقه من خلال تسليم حمولات مخبأة في القوسhive الملفات. 

يغير مجرمو الإنترنت هجماتهم باستمرار ويظل التصيد الاحتيالي إحدى الطرق الرئيسية لتقديم البرامج الضارة لأنه غالبًا ما يكون من الصعب اكتشاف ما إذا كانت رسالة بريد إلكتروني أو ملفات مشروعة - خاصةً إذا كانت قد انزلقت بالفعل عن طريق إخفاء الحمولة الضارة في مكان ما حيث يتعذر على برامج مكافحة الفيروسات اكتشافها. 

نحث المستخدمين على توخي الحذر بشأن الطلبات العاجلة لفتح الروابط وتنزيل المرفقات ، خاصة من مصادر غير متوقعة أو غير معروفة.  

المزيد عن الأمن السيبراني