HP – Hackerii ascund programe malware in documente OneNote si ii ataca pe utilizatorii care descarca filme de pe site-uri pirat

Atacatorii cibernetici deturnează browserele Chrome ale utilizatorilor, dacă aceștia încearcă să descarce filme populare sau jocuri video de pe site-uri pirat, se arată în raportul trimestrial HP Wolf Security Threat Insights (T1 2023).

Prin izolarea amenințărilor care au trecut de instrumentele de detecție ale PC-urilor, HP Wolf Security are o perspectivă specifică asupra celor mai recente tehnici folosite de hackeri, în peisajul în continuă schimbare al criminalității cibernetice. Până în prezent, clienții HP Wolf Security au deschis peste 30 de miliarde de atașamente de e-mail, pagini web și fișiere descărcate, fără să fie raportate breșe.

Pe baza datelor provenite de la milioane de puncte terminale care rulează HP Wolf Security, cercetătorii au descoperit că:

Extensia Shampoo Chromeeste greu de eliminat: O campanie de distribuire a malware-ului ChromeLoader păcălește utilizatorii să instaleze o extensie Chrome malițioasă numită Shampoo. Aceasta îi poate redirecționa pe utilizatori către site-uri web malițioase sau către pagini care aduc bani grupului infracțional, prin campanii publicitare. Programul malware este foarte persistent, folosind Task Scheduler pentru a se relansa la fiecare 50 de minute.
Hackerii ocolesc politicile de macrosecuritate folosind domenii de încredere:Deși macrocomenzile din surse nesigure sunt acum dezactivate, HP a constatat că atacatorii cibernetici au ocolit aceste bariere de securitate prin compromiterea unui cont Office 365, prin configurarea unui nou e-mail al companiei și prin distribuirea unui fișier Excel malițios, care infectează dispozitivele utilizatorilor cu Formbook.
Companiile trebuie să fie atente la ceea ce nu este la vedere:Documentele OneNote pot acționa ca niște albume digitale, astfel încât orice fișier poate fi atașat în interiorul lor. Hackerii profită de acest lucru pentru a încorpora fișiere malițioase în spatele unor pictograme false de tipul “click aici”. Dacă este accesată pictograma falsă, se deschide fișierul ascuns și începe să ruleze un program malware care le oferă hackerilor acces la computerul utilizatorului – acest acces poate fi apoi vândut altor grupuri de infractori cibernetici.

Grupuri sofisticate, precum Qakbot și IcedID, au încorporat pentru prima dată programe malware în fișiere OneNote în luna ianuarie. Având în vedere că pe piața neagră sunt acum disponibile kituri OneNote și că utilizarea lor necesită puține cunoștințe tehnice, este de așteptat ca aceste campanii malware să continue în lunile următoare.

“Pentru a se proteja împotriva celor mai recente amenințări cibernetice, sfătuim utilizatorii și companiile să evite să descarce materiale de pe pagini care nu sunt de încredere, în special site-uri pirat. Angajații ar trebui să fie atenți la documentele interne suspecte și să verifice cu expeditorul înainte de a le deschide. De asemenea, organizațiile ar trebui să configureze instrumentele de securitate pentru a bloca fișierele OneNote din surse externe necunoscute”, explică Patrick Schläpfer, analist malware în cadrul echipei de cercetare HP Wolf Security, la HP Inc.

Raportul arată, de asemenea, că grupurile de infractori cibernetici continuă să-și diversifice metodele de atac. Principalele constatări:

Arhivele au fost cel mai popular instrument de livrare de malware (42%) pentru al patrulea T1 consecutiv.
A existat o creștere de 37% a amenințărilor reprezentate de site-uri web false care imită pagini de software cunoscute, în T1 față de T4.
A existat o creștere de 4% a amenințărilor care folosesc documente PDF, în T1 față de T4.
S-a înregistrat o scădere de 6% a amenințărilor care folosesc documente Excel (de la 19% la 13%) în T1 față de T4.
Principalul vector de amenințare în T1 a fost e-mailul (80%), urmat de descărcările din browser (13%).
HP Wolf Security execută sarcini riscante, cum ar fi deschiderea atașamentelor de e-mail, descărcarea de fișiere și link-uri în micro-mașini virtuale (micro-VM) izolate, pentru a-i proteja pe utilizatori. De asemenea, captează urme detaliate ale încercărilor de infectare. Tehnologia HP de izolare a aplicațiilor atenuează amenințările care ar putea trece neobservate de alte instrumente de securitate și oferă informații unice despre noile tehnici abordate de hackeri.