Archiwa ZIP i RAR prześcignęły pliki Office. Skrywają złośliwe oprogramowanie

Mateusz PonikowskiSkomentuj
Archiwa ZIP i RAR prześcignęły pliki Office. Skrywają złośliwe oprogramowanie
Najnowszy raport HP Wolf Security Threat Insights za trzeci kwartał 2022 r., wskazuje, że to pliki archiwów – takie jak ZIP i RAR – były najczęściej wykorzystywanym formatem do wysyłania złośliwego oprogramowania. Po raz pierwszy od trzech lat formaty te prześcignęły pliki Office.

Uwaga na złośliwe pliki ZIP i RAR

Na podstawie danych pochodzących z milionów urządzeń wyposażonych w system HP Wolf Security, raport wykazał, że 44% złośliwego oprogramowania zostało dostarczone do odbiorców w formie plików archiwów – co stanowi wzrost o 11% w stosunku do poprzedniego kwartału. Za pośrednictwem plików pakietu Office, takich jak Microsoft Word, Excel i PowerPoint, wysyłano ok. 32% malware’ów.

Jak działają cyberprzestępcy? Metod jest kilka, np. osadzają złośliwy kod z plików archiwów w formacie HTML w celu ominięcia bramek e-mail, a następnie przeprowadzają atak.

Ciekawym przykładem są ostatnie kampanie QakBot i IceID, które wykorzystywały pliki HTML do kierowania użytkowników do fałszywych przeglądarek dokumentów online, które podszywały się pod Adobe. Użytkownicy byli następnie instruowani, aby otworzyć ZIP i wprowadzić hasło w celu rozpakowania plików, które umieszczały złośliwe oprogramowanie na ich komputerach.

„Ponieważ złośliwe oprogramowanie w oryginalnym pliku HTML jest zakodowane i zaszyfrowane, wykrycie go przez bramkę poczty elektronicznej lub inne narzędzia bezpieczeństwa jest bardzo trudne. Zamiast tego, atakujący opiera się na socjotechnikach, tworząc przekonującą i dobrze zaprojektowaną stronę internetową, aby zachęcić odbiorcę do zainicjowania ataku poprzez otwarcie złośliwego pliku ZIP. W październiku br. zauważono również wykorzystanie fałszywych stron Google Drive przez te same grupy przestępców, którzy w ten sposób próbowali skłonić atakowanych do otwarcia złośliwych plików.” – czytamy w raporcie HP.

HP zidentyfikowało również nowe podejście hakerów, umożliwiające atakującemu zmianę taktyki w zależności od celu i zabezpieczeń, które chcą złamać. Z uwagi na to, że złośliwe oprogramowanie nie znajduje się bezpośrednio w załączniku wiadomości wysyłanej do odbiorcy, bramki e-mailowe mają większe trudności z wykryciem tego rodzaju ataku.

„Jak wykazano w raporcie, napastnicy nieustannie zmieniają techniki, co bardzo utrudnia dostrzeżenie ich przez narzędzia wykrywające. Postępując zgodnie z zasadą Zero Trust, polegającą na szczelnej izolacji, organizacje mogą wykorzystać mikrowirtualizację, aby mieć pewność, że potencjalnie złośliwe zadania – takie jak klikanie w linki lub otwieranie złośliwych załączników – są wykonywane w jednorazowej maszynie wirtualnej, oddzielonej od podstawowych systemów. Proces ten jest całkowicie niewidoczny dla użytkownika, a umożliwia zatrzymanie wszelkiego ukrytego w nim złośliwego oprogramowania. Dzięki temu atakujący nie uzyskują dostępu do wrażliwych danych czy systemu, a przemieszczanie się w sposób lateralny nie jest możliwe.” – komentuje dr Ian Pratt, Global Head of Security for Personal Systems, HP Inc.

Źródło: HP

Udostępnij

Mateusz PonikowskiWspółzałożyciel serwisu instalki.pl od ponad 18 lat aktywny w branży mediów technologicznych.