HP: Arhivele, cele mai întâlnite fişiere maliţioase

Share

Formatele de arhivă – cum ar fi fișierele ZIP și RAR – au fost cel mai frecvent tip de fișier pentru livrarea de malware, depășind fișierele Office pentru prima dată în ultimii trei ani se arată în raportul HP Wolf Security Threat Insights.

Pe baza datelor provenite de la milioane de terminale care rulează HP Wolf Security, studiul arată că 44% dintre programele malware au fost livrate în fișiere de arhivă, ceea ce înseamnă o creștere de 11% față de trimestrul precedent. În comparație,  32% dintre programele malware au fost livrate prin intermediul fișierelor Office, cum ar fi Microsoft Word, Excel și PowerPoint.

Raportul a identificat mai multe campanii care combină utilizarea fișierelor de arhivă cu noi tehnici de hacking HTML – în care infractorii cibernetici integrează fișiere de arhivă malițioase în fișiere HTML pentru a ocoli instrumentele de securitate și a lansa ulterior atacuri.
De exemplu, campaniile recente QakBot și IceID au folosit fișiere HTML pentru a direcționa utilizatorii către documente online false disimulate ca fiind Adobe. Utilizatorii erau apoi instruiți să deschidă un fișier ZIP și să introducă o parolă pentru a deschide fișierele, care apoi implementau programe malware pe PC-urile lor.

Cum malware-ul din fișierul HTML original e criptat, e foarte dificil pentru instrumentele de securitate să-l detecteze. În schimb, hackerii creează o pagină web convingătoare și bine concepută pentru a-i păcăli pe utilizatori. În octombrie, aceiași atacatori au fost descoperiți folosind pagini Google Drive false, încercând să convingă utilizatorii să deschidă fișiere ZIP malițioase.

„Fișierele de arhivă sunt ușor de criptat, ceea ce îi ajută pe infractorii cibernetici să ascundă programe malware și să eludeze proxy-urile web, sandbox-urile sau scanerele de e-mail. Acest lucru face ca atacurile să fie dificil de detectat, în special atunci când sunt combinate cu tehnici de hacking HTML. Un detaliu interesant în cazul campaniilor QakBot și IceID a fost efortul depus pentru a crea paginile false – aceste campanii au fost mai convingătoare decât ceea ce am mai văzut până acum, ceea ce face ca oamenilor să le fie greu să știe în ce fișiere pot sau nu avea încredere”, explică Alex Holland, Senior Malware Analyst în cadrul echipei HP Wolf Security.

HP a identificat și o campanie complexă care folosea un lanț de infectare modular, care ar putea permite hackerilor să schimbe conținutul malițios – cum ar fi spyware, ransomware, keylogger – în mijlocul campaniei sau să introducă noi caracteristici, cum ar fi geo-fencing. Acest lucru i-ar putea permite unui hacker să schimbe tacticile în funcție de ținta vizată. Acest tip de atac e mai greu de depistat și din cauza faptului că malware-ul nu este inclus direct în atașamentul trimis către țintă.

HP Wolf Security execută sarcini riscante, cum ar fi deschiderea atașamentelor de e-mail, descărcarea de fișiere și deschiderea de link-uri în micro-mașini virtuale izolate, pentru a-i proteja pe utilizatori, captând urme detaliate ale încercărilor de infectare. Tehnologia HP de izolare a aplicațiilor atenuează amenințările care pot trece de alte instrumente de securitate și oferă informații unice despre tehnicile noi și despre comportamentul infractorilor cibernetici. Până în prezent, clienții HP au deschis peste 18 miliarde de atașamente de e-mail, pagini web și fișiere, fără să fie raportate breșe.

Datele au fost colectate în mod anonim de la clienții HP Wolf Security în perioada iulie-septembrie 2022.