这些文件类型是黑客最常用来隐藏其恶意软件的文件类型

根据对现实世界网络攻击和从数百万台 PC 收集的数据的分析，ZIP 和 RAR 文件已取代 Office 文档，成为网络犯罪分子最常用来传播恶意软件的文件。 

这个调查， 基于 HP Wolf Security 的客户数据，发现今年 42 月至 XNUMX 月期间，XNUMX% 的恶意软件攻击尝试使用了hive 文件格式，包括 ZIP 和 RAR。  

这意味着尝试利用 ZIP 和 RAR 格式的网络攻击比尝试使用 Microsoft Word 和 Microsoft Excel 文件等 Microsoft Office 文档传播恶意软件的网络攻击更为常见，后者长期以来一直是引诱受害者下载恶意软件的首选方法。 

研究人员称，这是三年多来首次hive 文件已超过 Microsoft Office 文件，成为传播恶意软件的最常见方式。 

通过加密恶意负载并将其隐藏在 arc 内hive 文件，它为攻击者提供了绕过许多安全保护的方法。 

“弧hive易于加密，可帮助威胁行为者隐藏恶意软件并逃避网络代理、沙箱或电子邮件扫描仪。这使得攻击难以检测，尤其是与 HTML 走私技术结合使用时。”HP Wolf Security 威胁研究团队的高级恶意软件分析师 Alex Holland 说道。 

除此之外： 网络安全：这些是 2023 年需要担心的新问题

在许多情况下，攻击者会制作看似来自知名品牌和在线服务提供商的网络钓鱼电子邮件，试图诱骗用户打开并运行恶意 ZIP 或 RAR 文件。  

这包括在电子邮件中使用伪装成 PDF 文档的恶意 HTML 文件，如果运行该文件，会显示一个伪造的在线文档查看器，该查看器可解码 ZIP 弧线hive。如果用户下载了它，就会感染恶意软件。 

根据 HP Wolf Security 的分析，最臭名昭著的恶意软件活动之一现在依赖 ZIP archives 和恶意 HTML 文件是 Qakbot——一个恶意软件家族，不仅用于窃取数据，还用作部署勒索软件的后门。 

Qakbot 于 9 月份重新出现，通过电子邮件发送恶意信息，声称与需要打开的在线文档有关。如果弧hive 运行后，它使用恶意命令以动态链接库的形式下载并执行有效负载，然后使用 Windows 中合法但经常被滥用的工具启动。 

不久之后，网络犯罪分子分发了 IcedID（一种恶意软件，其安装目的是为了实现人为操作的勒索软件攻击）开始使用与 Qakbot 滥用 arc 所使用的模板几乎相同的模板。hive 文件来诱骗受害者下载恶意软件。  

这两个活动都努力确保电子邮件和虚假 HTML 页面看起来合法，以欺骗尽可能多的受害者。 

“QakBot 和 IcedID 活动的有趣之处在于创建虚假页面的努力 - 这些活动比我们以前看到的更有说服力，使人们很难知道他们可以信任哪些文件，不能信任哪些文件”，霍兰德说道。 

除此之外： 勒索软件：为什么它仍然是一个很大的威胁，以及团伙下一步要去哪里

勒索软件组织也被发现以这种方式滥用 ZIP 和 RAR 文件。据 HP Wolf Security 称，Magniber 勒索软件组织针对家庭用户发起了一场针对家庭用户的攻击活动，该攻击会对文件进行加密，并向受害者勒索 2,500 美元。  

在这种情况下，感染首先从攻击者控制的网站下载，该网站要求用户下载 ZIP 弧hive 包含声称是重要的防病毒或 Windows 10 软件更新的 JavaScript 文件。如果运行并执行，它会下载并安装勒索软件。 

在最新的 Magniber 活动之前，勒索软件是通过 MSI 和 EXE 文件传播的，但与其他网络犯罪组织一样，他们已经注意到通过传递隐藏在 arc 中的有效负载可以取得成功hive 文件。 

网络犯罪分子不断改变他们的攻击方式，网络钓鱼仍然是传播恶意软件的关键方法之一，因为通常很难检测电子邮件或文件是否合法，特别是如果它已经通过将恶意负载隐藏在防病毒软件可以识别的地方而泄露了。检测不到它。 

我们敦促用户对打开链接和下载附件的紧急请求保持谨慎，尤其是来自意外或未知来源的请求。  

有关网络安全的更多信息