Эти типы файлов чаще всего используются хакерами для сокрытия своих вредоносных программ.

Согласно анализу реальных кибератак и данных, собранных с миллионов ПК, файлы ZIP и RAR обогнали документы Office как файлы, которые чаще всего используются киберпреступниками для доставки вредоносного ПО. 

Исследование, на основе данных о клиентах HP Wolf Security, обнаруженные в период с июля по сентябрь этого года, 42% попыток проведения вредоносных атак с использованием дугиhive форматы файлов, включая ZIP и RAR.  

Это означает, что кибератаки, пытающиеся использовать форматы ZIP и RAR, более распространены, чем те, которые пытаются доставить вредоносное ПО с использованием документов Microsoft Office, таких как файлы Microsoft Word и Microsoft Excel, которые долгое время были предпочтительным методом, позволяющим жертвам загружать вредоносное ПО. 

По словам исследователей, это первый случай за более чем три года, когда дугаhive превзошли файлы Microsoft Office как наиболее распространенное средство доставки вредоносного ПО. 

Путем шифрования вредоносных полезных нагрузок и сокрытия их внутри дугиhive файлы, он предоставляет злоумышленникам возможность обойти многие средства защиты. 

«Дугаhives легко шифруются, что помогает злоумышленникам скрывать вредоносное ПО и обходить веб-прокси, песочницы или сканеры электронной почты. Это затрудняет обнаружение атак, особенно в сочетании с методами контрабанды HTML», — сказал Алекс Холланд, старший аналитик вредоносных программ в группе исследования угроз HP Wolf Security. 

А также: Кибербезопасность: новые вещи, о которых стоит беспокоиться в 2023 году

Во многих случаях злоумышленники создают фишинговые электронные письма, которые выглядят так, как будто они исходят от известных брендов и поставщиков онлайн-услуг, которые пытаются обманом заставить пользователя открыть и запустить вредоносный файл ZIP или RAR.  

Это включает в себя использование вредоносных файлов HTML в электронных письмах, которые маскируются под PDF-документы, которые при запуске показывают фальшивую онлайн-программу просмотра документов, которая декодирует дугу ZIP.hive. Если он загружен пользователем, он заразит его вредоносным ПО. 

Согласно анализу HP Wolf Security, одна из самых известных кампаний вредоносного ПО, которая в настоящее время использует ZIP-архивhives и вредоносные HTML-файлы — это Qakbot — семейство вредоносных программ, которые используются не только для кражи данных, но и в качестве бэкдора для развертывания программ-вымогателей. 

Qakbot снова появился в сентябре с вредоносными сообщениями, разосланными по электронной почте, в которых утверждалось, что они связаны с онлайн-документами, которые необходимо открыть. Если дугаhive был запущен, он использовал вредоносные команды для загрузки и выполнения полезной нагрузки в виде библиотеки динамической компоновки, а затем запускался с использованием законных, но часто злоупотребляемых инструментов в Windows. 

Вскоре после этого киберпреступники, распространяющие IcedID — форму вредоносного ПО, которое устанавливается для обеспечения возможности осуществления атак программ-вымогателей, управляемых человеком, — начали использовать шаблон, почти идентичный тому, который использовал Qakbot для злоупотребления дугой.hive файлы, чтобы заставить жертв загрузить вредоносное ПО.  

Обе кампании приложили усилия к тому, чтобы электронные письма и фальшивые HTML-страницы выглядели законными, чтобы обмануть как можно больше жертв. 

«Что было интересно в кампаниях QakBot и IcedID, так это усилия, затраченные на создание поддельных страниц — эти кампании были более убедительными, чем то, что мы видели раньше, из-за чего людям было трудно понять, каким файлам они могут доверять, а какие нет. — сказал Холланд. 

А также: Программы-вымогатели: почему они по-прежнему представляют большую угрозу и куда идут банды дальше

Также было замечено, что группа программ-вымогателей злоупотребляет ZIP- и RAR-файлами таким образом. По данным HP Wolf Security, кампания, распространяемая группой вымогателей Magniber, нацелена на домашних пользователей с атаками, которые шифруют файлы и требуют от жертв 2,500 долларов.  

В этом случае заражение начинается с загрузки с веб-сайта, контролируемого злоумышленниками, который просит пользователей загрузить ZIP-архив.hive содержащий файл JavaScript, якобы являющийся важным антивирусным обновлением или обновлением программного обеспечения Windows 10. Если он запускается и выполняется, он загружает и устанавливает программу-вымогатель. 

До этой последней кампании Magniber программа-вымогатель распространялась через файлы MSI и EXE, но, как и другие киберпреступные группы, они заметили успех, которого можно достичь, доставляя полезные нагрузки, скрытые в дуге.hive файлы. 

Киберпреступники постоянно меняют свои атаки, и фишинг остается одним из ключевых методов доставки вредоносного ПО, потому что часто трудно определить, являются ли электронные письма или файлы законными, особенно если они уже ускользнули, спрятав вредоносную полезную нагрузку где-то, где антивирусное программное обеспечение может не обнаружить его. 

Пользователей призывают с осторожностью относиться к срочным запросам на открытие ссылок и загрузку вложений, особенно из неожиданных или неизвестных источников.  

БОЛЬШЕ О КИБЕРБЕЗОПАСНОСТИ