ไฟล์ประเภทเหล่านี้เป็นประเภทที่แฮ็กเกอร์ใช้บ่อยที่สุดเพื่อซ่อนมัลแวร์

ไฟล์ ZIP และ RAR แซงหน้าเอกสาร Office เนื่องจากเป็นไฟล์ที่อาชญากรไซเบอร์ใช้เพื่อส่งมัลแวร์มากที่สุด ตามการวิเคราะห์การโจมตีทางไซเบอร์ในโลกแห่งความเป็นจริงและข้อมูลที่รวบรวมจากพีซีหลายล้านเครื่อง 

การวิจัย อิงตามข้อมูลลูกค้าโดย HP Wolf Securityซึ่งพบในช่วงระหว่างเดือนกรกฎาคมถึงกันยายนปีนี้ 42% ของความพยายามในการโจมตีมัลแวร์แบบใช้อาร์คhive รูปแบบไฟล์รวมถึง ZIP และ RAR  

นั่นหมายความว่าการโจมตีทางไซเบอร์ที่พยายามใช้ประโยชน์จากรูปแบบ ZIP และ RAR นั้นพบได้บ่อยกว่าการโจมตีที่พยายามส่งมัลแวร์โดยใช้เอกสาร Microsoft Office เช่นไฟล์ Microsoft Word และ Microsoft Excel ซึ่งเป็นวิธีการล่อลวงเหยื่อให้ดาวน์โหลดมัลแวร์ที่นิยมใช้กันมานานแล้ว 

ตามที่นักวิจัยกล่าวว่านี่เป็นครั้งแรกในรอบกว่าสามปีที่โค้งดังกล่าวhive ไฟล์ได้แซงหน้าไฟล์ Microsoft Office เนื่องจากเป็นวิธีการส่งมัลแวร์ที่พบบ่อยที่สุด 

โดยการเข้ารหัสเพย์โหลดที่เป็นอันตรายและซ่อนไว้ภายในส่วนโค้งhive ไฟล์ดังกล่าวช่วยให้ผู้โจมตีสามารถหลบเลี่ยงการป้องกันความปลอดภัยต่างๆ ได้ 

“อาร์คhiveเข้ารหัสได้ง่าย ช่วยให้ผู้คุกคามสามารถปกปิดมัลแวร์และหลบเลี่ยงเว็บพรอกซี แซนด์บ็อกซ์ หรือเครื่องสแกนอีเมล ทำให้ตรวจจับการโจมตีได้ยาก โดยเฉพาะอย่างยิ่งเมื่อรวมกับเทคนิคการลักลอบนำ HTML” อเล็กซ์ ฮอลแลนด์ นักวิเคราะห์มัลแวร์อาวุโสของทีมวิจัยภัยคุกคาม HP Wolf Security กล่าว 

นอกจากนี้: ความปลอดภัยทางไซเบอร์: สิ่งเหล่านี้คือสิ่งใหม่ที่ต้องกังวลในปี 2023

ในหลายกรณี ผู้โจมตีกำลังสร้างอีเมลฟิชชิ่งที่ดูเหมือนว่ามาจากแบรนด์และผู้ให้บริการออนไลน์ที่เป็นที่รู้จัก ซึ่งพยายามหลอกให้ผู้ใช้เปิดและเรียกใช้ไฟล์ ZIP หรือ RAR ที่เป็นอันตราย  

ซึ่งรวมถึงการใช้ไฟล์ HTML ที่เป็นอันตรายในอีเมลที่ปลอมแปลงเป็นเอกสาร PDF ซึ่งหากทำงาน จะแสดงโปรแกรมดูเอกสารออนไลน์ปลอมซึ่งจะถอดรหัสส่วน ZIPhive. หากผู้ใช้ดาวน์โหลด มันจะติดมัลแวร์ 

ตามการวิเคราะห์โดย HP Wolf Security หนึ่งในแคมเปญมัลแวร์ที่โด่งดังที่สุดซึ่งปัจจุบันใช้ ZIP archiveและไฟล์ HTML ที่เป็นอันตรายคือ Qakbot ซึ่งเป็นตระกูลมัลแวร์ที่ไม่เพียงแต่ใช้เพื่อขโมยข้อมูลเท่านั้น แต่ยังใช้เป็นแบ็คดอร์สำหรับปรับใช้แรนซัมแวร์อีกด้วย 

Qakbot กลับมาอีกครั้งในเดือนกันยายน โดยส่งข้อความที่เป็นอันตรายทางอีเมล โดยอ้างว่าเกี่ยวข้องกับเอกสารออนไลน์ที่จำเป็นต้องเปิด ถ้าส่วนโค้งhive รันโดยใช้คำสั่งที่เป็นอันตรายเพื่อดาวน์โหลดและดำเนินการเพย์โหลดในรูปแบบของไดนามิกลิงก์ไลบรารี่ จากนั้นจึงเปิดตัวโดยใช้เครื่องมือที่ถูกต้องตามกฎหมาย แต่มักถูกใช้ในทางที่ผิดใน Windows 

หลังจากนั้นไม่นาน อาชญากรไซเบอร์ก็เผยแพร่ IcedID ซึ่งเป็นมัลแวร์รูปแบบหนึ่งที่ติดตั้งเพื่อเปิดใช้งานการโจมตีด้วยแรนซัมแวร์ที่ดำเนินการโดยมนุษย์ โดยเริ่มใช้เทมเพลตที่เกือบจะเหมือนกับที่ Qakbot ใช้ในทางที่ผิดhive ไฟล์เพื่อหลอกให้เหยื่อดาวน์โหลดมัลแวร์  

ทั้งสองแคมเปญพยายามตรวจสอบให้แน่ใจว่าอีเมลและหน้า HTML ปลอมนั้นดูถูกต้องตามกฎหมายเพื่อหลอกเหยื่อให้ได้มากที่สุด 

“สิ่งที่น่าสนใจสำหรับแคมเปญ QakBot และ IcedID คือความพยายามในการสร้างเพจปลอม แคมเปญเหล่านี้มีความน่าเชื่อถือมากกว่าที่เราเคยเห็นมาก่อน ทำให้ยากสำหรับคนที่จะรู้ว่าไฟล์ใดที่พวกเขาสามารถและไม่สามารถเชื่อถือได้ ” ฮอลแลนด์กล่าว 

นอกจากนี้: แรนซัมแวร์: เหตุใดจึงยังคงเป็นภัยคุกคามใหญ่ และกลุ่มคนร้ายจะดำเนินต่อไปอย่างไร

มีการพบว่ากลุ่มแรนซัมแวร์ใช้ไฟล์ ZIP และ RAR ในทางที่ผิดในลักษณะนี้ ตามรายงานของ HP Wolf Security แคมเปญที่แพร่กระจายโดยกลุ่มแรนซัมแวร์ Magniber มุ่งเป้าไปที่ผู้ใช้ตามบ้าน โดยมีการโจมตีที่เข้ารหัสไฟล์และเรียกร้องเงิน 2,500 ดอลลาร์จากเหยื่อ  

ในกรณีนี้ การติดไวรัสเริ่มต้นด้วยการดาวน์โหลดจากเว็บไซต์ที่ผู้โจมตีควบคุม ซึ่งขอให้ผู้ใช้ดาวน์โหลด ZIP archive มีไฟล์ JavaScript ที่อ้างว่าเป็นโปรแกรมป้องกันไวรัสที่สำคัญหรือการอัปเดตซอฟต์แวร์ Windows 10 หากเรียกใช้และดำเนินการ มันจะดาวน์โหลดและติดตั้งแรนซัมแวร์ 

ก่อนแคมเปญ Magniber ล่าสุดนี้ แรนซัมแวร์ถูกแพร่กระจายผ่านไฟล์ MSI และ EXE แต่ก็เหมือนกับกลุ่มอาชญากรไซเบอร์อื่นๆ พวกเขาสังเกตเห็นความสำเร็จที่สามารถทำได้ด้วยการส่งเพย์โหลดที่ซ่อนอยู่ในส่วนโค้งhive ไฟล์ 

อาชญากรไซเบอร์เปลี่ยนแปลงการโจมตีอย่างต่อเนื่อง และฟิชชิ่งยังคงเป็นหนึ่งในวิธีการสำคัญในการส่งมัลแวร์ เพราะมักจะตรวจพบได้ยากว่าอีเมลหรือไฟล์นั้นถูกต้องหรือไม่ โดยเฉพาะอย่างยิ่งหากหลุดออกไปแล้วโดยการซ่อนเพย์โหลดที่เป็นอันตรายที่ไหนสักแห่งที่ซอฟต์แวร์ป้องกันไวรัสสามารถทำได้ ตรวจไม่พบมัน 

ผู้ใช้ควรระมัดระวังเกี่ยวกับคำขอเร่งด่วนในการเปิดลิงก์และดาวน์โหลดไฟล์แนบ โดยเฉพาะอย่างยิ่งจากแหล่งที่มาที่ไม่คาดคิดหรือไม่ทราบ  

เพิ่มเติมเกี่ยวกับความปลอดภัยทางไซเบอร์