Keep Calm and Stay Smart
01:51
Dessa filtyper är de som oftast används av hackare för att dölja sin skadliga programvara
ZIP- och RAR-filer har gått om Office-dokument som den fil som oftast används av cyberbrottslingar för att leverera skadlig programvara, enligt en analys av verkliga cyberattacker och data som samlats in från miljontals datorer.
Forskningen, baserat på kunddata från HP Wolf Security, som hittades under perioden mellan juli och september i år, användes 42 % av försöken att leverera malwareattackerhive filformat, inklusive ZIP och RAR.
Det betyder att cyberattacker som försöker utnyttja ZIP- och RAR-format är vanligare än de som försöker leverera skadlig programvara med hjälp av Microsoft Office-dokument som Microsoft Word och Microsoft Excel-filer, som länge har varit den föredragna metoden för att locka offer att ladda ner skadlig programvara.
Populär nu
Enligt forskare är detta första gången på över tre år som bågenhive filer har överträffat Microsoft Office-filer som det vanligaste sättet att leverera skadlig programvara.
Genom att kryptera skadliga nyttolaster och gömma dem inom bågenhive filer, ger det angripare ett sätt att kringgå många säkerhetsskydd.
"Bågehives är lätta att kryptera, vilket hjälper hotaktörer att dölja skadlig programvara och undvika webbproxyer, sandlådor eller e-postskannrar. Detta gör attacker svåra att upptäcka, särskilt i kombination med HTML-smugglingstekniker, säger Alex Holland, senior malware-analytiker på HP Wolf Security-hotforskningsgruppen.
Dessutom: Cybersäkerhet: Det här är de nya sakerna att oroa sig för 2023
I många fall skapar angriparna nätfiske-e-postmeddelanden som ser ut att komma från kända varumärken och onlinetjänsteleverantörer, som försöker lura användaren att öppna och köra den skadliga ZIP- eller RAR-filen.
Detta inkluderar att använda skadliga HTML-filer i e-postmeddelanden som maskerar sig som PDF-dokument – som om de körs visar en falsk onlinedokumentvisare som avkodar ZIP-bågenhive. Om det laddas ner av användaren kommer det att infektera dem med skadlig programvara.
Enligt analys av HP Wolf Security, en av de mest ökända malware-kampanjerna som nu förlitar sig på ZIP archives och skadliga HTML-filer är Qakbot – en skadlig programvara familj som inte bara används för att stjäla data, utan också används som en bakdörr för att distribuera ransomware.
Qakbot dök upp igen i september, med skadliga meddelanden skickade ut via e-post, som påstod sig vara relaterade till onlinedokument som behövde öppnas. Om bågenhive kördes, använde den skadliga kommandon för att ladda ner och köra nyttolasten i form av ett dynamiskt länkbibliotek, och sedan lanserades med legitima – men ofta missbrukade – verktyg i Windows.
Kort därefter började cyberbrottslingar som distribuerade IcedID – en form av skadlig programvara som installeras för att möjliggöra, hands-on, mänskligt styrda ransomware-attacker – använda en mall nästan identisk med den som används av Qakbot för att missbruka archive filer för att lura offren att ladda ner skadlig programvara.
Båda kampanjerna ansträngde sig för att se till att e-postmeddelanden och de falska HTML-sidorna såg legitima ut för att lura så många offer som möjligt.
"Det som var intressant med QakBot- och IcedID-kampanjerna var ansträngningen att skapa de falska sidorna – dessa kampanjer var mer övertygande än vad vi har sett tidigare, vilket gjorde det svårt för människor att veta vilka filer de kan lita på och inte kan lita på. ", sa Holland.
Dessutom: Ransomware: Varför det fortfarande är ett stort hot och vart gängen är på väg härnäst
En ransomware-grupp har också setts missbruka ZIP- och RAR-filer på detta sätt. Enligt HP Wolf Security riktade sig en kampanj som spreds av Magniber ransomware-gruppen hemanvändare, med attacker som krypterar filer och kräver $2,500 XNUMX från offren.
I det här fallet börjar infektionen med en nedladdning från en angriparkontrollerad webbplats som ber användarna att ladda ner en ZIP-bågehive som innehåller en JavaScript-fil som utger sig vara en viktig antivirus- eller Windows 10-programuppdatering. Om den körs och körs, laddar den ner och installerar ransomware.
Före den senaste Magniber-kampanjen spreds ransomware genom MSI- och EXE-filer – men precis som andra cyberkriminella grupper har de lagt märke till framgången som kan uppnås med att leverera nyttolaster dolda i bågehive filer.
Cyberbrottslingar förändrar kontinuerligt sina attacker och nätfiske är fortfarande en av nyckelmetoderna för att leverera skadlig programvara eftersom det ofta är svårt att upptäcka om ett e-postmeddelande eller filer är legitima – särskilt om det redan har glidit genom att dölja den skadliga nyttolasten någonstans där antivirusprogram kan inte upptäcka det.
Populär nu
Användare uppmanas att vara försiktiga med brådskande förfrågningar om att öppna länkar och ladda ner bilagor, särskilt från oväntade eller okända källor.
MER OM CYBERSÄKERHET
English
Arabic
Belarusian
Bengali
Bosnian
Bulgarian
Chinese (Simplified)
Croatian
Czech
Danish
Dutch
English
Estonian
Filipino
Finnish
French
Georgian
German
Greek
Gujarati
Hausa
Hebrew
Hindi
Hmong
Hungarian
Igbo
Indonesian
Italian
Japanese
Javanese
Kazakh
Korean
Kurdish (Kurmanji)
Kyrgyz
Lao
Latvian
Lithuanian
Macedonian
Malagasy
Norwegian
Persian
Polish
Portuguese
Punjabi
Romanian
Russian
Serbian
Slovak
Slovenian
Spanish
Swedish
Thai
Turkish
Ukrainian
Vietnamese
Yoruba