Te typy plików są najczęściej używane przez hakerów do ukrywania złośliwego oprogramowania

Z analizy rzeczywistych cyberataków i danych zebranych z milionów komputerów wynika, że ​​pliki ZIP i RAR wyprzedziły dokumenty pakietu Office jako pliki najczęściej wykorzystywane przez cyberprzestępców do dostarczania złośliwego oprogramowania. 

Badania, na podstawie danych klientów firmy HP Wolf Security, wykrytych w okresie od lipca do września tego roku, 42% prób przeprowadzenia ataków złośliwym oprogramowaniem wykorzystywało łukhive formaty plików, w tym ZIP i RAR.  

Oznacza to, że cyberataki próbujące wykorzystać formaty ZIP i RAR są bardziej powszechne niż te, które próbują dostarczyć złośliwe oprogramowanie przy użyciu dokumentów Microsoft Office, takich jak pliki Microsoft Word i Microsoft Excel, które od dawna są preferowaną metodą nakłaniania ofiar do pobrania złośliwego oprogramowania. 

Według naukowców jest to pierwszy taki przypadek od ponad trzech lathive przewyższyła pliki pakietu Microsoft Office jako najpowszechniejszy sposób dostarczania złośliwego oprogramowania. 

Szyfrując złośliwe ładunki i ukrywając je w łukuhive plików, zapewnia atakującym sposób na ominięcie wielu zabezpieczeń. 

"Łukhivesą łatwe do zaszyfrowania, pomagając cyberprzestępcom ukrywać złośliwe oprogramowanie i omijać serwery proxy, piaskownice lub skanery poczty e-mail. To sprawia, że ​​ataki są trudne do wykrycia, zwłaszcza w połączeniu z technikami przemytu HTML” — powiedział Alex Holland, starszy analityk złośliwego oprogramowania w zespole badawczym HP Wolf Security. 

Również: Cyberbezpieczeństwo: oto nowe rzeczy, o które należy się martwić w 2023 r

W wielu przypadkach osoby atakujące tworzą e-maile phishingowe, które wyglądają, jakby pochodziły od znanych marek i dostawców usług internetowych, które próbują nakłonić użytkownika do otwarcia i uruchomienia złośliwego pliku ZIP lub RAR.  

Obejmuje to używanie złośliwych plików HTML w wiadomościach e-mail, które udają dokumenty PDF – które po uruchomieniu wyświetlają fałszywą przeglądarkę dokumentów online dekodującą łuk ZIPhive. Jeśli zostanie pobrany przez użytkownika, zainfekuje go złośliwym oprogramowaniem. 

Według analizy przeprowadzonej przez HP Wolf Security, jedna z najbardziej znanych kampanii złośliwego oprogramowania, która obecnie polega na łuku ZIPhives i złośliwymi plikami HTML to Qakbot – rodzina szkodliwego oprogramowania, która służy nie tylko do kradzieży danych, ale także jako backdoor do wdrażania ransomware. 

Qakbot pojawił się ponownie we wrześniu ze złośliwymi wiadomościami wysyłanymi pocztą elektroniczną, rzekomo powiązanymi z dokumentami internetowymi, które należało otworzyć. Jeśli łukhive został uruchomiony, wykorzystywał złośliwe polecenia do pobrania i wykonania ładunku w postaci biblioteki dołączanej dynamicznie, a następnie uruchamiany przy użyciu legalnych – ale często nadużywanych – narzędzi w systemie Windows. 

Wkrótce potem cyberprzestępcy dystrybuujący IcedID – rodzaj złośliwego oprogramowania, który jest instalowany w celu umożliwienia przeprowadzanych przez ludzi ataków ransomware – zaczęli używać szablonu niemal identycznego z szablonem używanym przez Qakbota do nadużywania łuku.hive plików, aby nakłonić ofiary do pobrania złośliwego oprogramowania.  

Obie kampanie dołożyły wszelkich starań, aby wiadomości e-mail i fałszywe strony HTML wyglądały na wiarygodne, aby oszukać jak najwięcej ofiar. 

„To, co było interesujące w kampaniach QakBot i IcedID, to wysiłek włożony w tworzenie fałszywych stron – te kampanie były bardziej przekonujące niż to, co widzieliśmy wcześniej, przez co ludzie mieli trudności z ustaleniem, którym plikom mogą ufać, a którym nie. — powiedział Holender. 

Również: Ransomware: dlaczego wciąż stanowi duże zagrożenie i dokąd zmierzają gangi

Widziano również grupę ransomware wykorzystującą w ten sposób pliki ZIP i RAR. Według HP Wolf Security, kampania rozpowszechniana przez grupę ransomware Magniber była wymierzona w użytkowników domowych, przeprowadzając ataki, które szyfrują pliki i żądają od ofiar 2,500 USD.  

W tym przypadku infekcja rozpoczyna się od pobrania ze strony internetowej kontrolowanej przez osobę atakującą, która prosi użytkowników o pobranie pliku ZIP archive zawierające plik JavaScript, który rzekomo jest ważną aktualizacją oprogramowania antywirusowego lub systemu Windows 10. Jeśli zostanie uruchomiony i wykonany, pobiera i instaluje ransomware. 

Przed ostatnią kampanią Magniber oprogramowanie ransomware rozprzestrzeniało się za pośrednictwem plików MSI i EXE – ale podobnie jak inne grupy cyberprzestępcze zauważyły ​​one sukces, jaki można osiągnąć dzięki dostarczaniu ładunków ukrytych w łuku.hive akta. 

Cyberprzestępcy nieustannie zmieniają swoje ataki, a phishing pozostaje jedną z kluczowych metod dostarczania złośliwego oprogramowania, ponieważ często trudno jest wykryć, czy wiadomość e-mail lub pliki są legalne – zwłaszcza jeśli już się wymknęły, ukrywając złośliwą zawartość w miejscu, do którego może dotrzeć oprogramowanie antywirusowe. go nie wykryć. 

Użytkownicy są proszeni o zachowanie ostrożności w przypadku pilnych próśb o otwarcie linków i pobranie załączników, zwłaszcza z nieoczekiwanych lub nieznanych źródeł.  

WIĘCEJ O CYBERBEZPIECZEŃSTWIE