Η HP Inc. δημοσίευσε την έκθεση Threat Insights της HP Wolf Security του τρίτου τριμήνου, στην οποία διαπιστώνεται ότι μορφές αρχειοθέτησης αρχείων – όπως τα αρχεία ZIP και RAR – ήταν οι πιο κοινοί τύποι αρχείων για τη διανομή κακόβουλου λογισμικού, ξεπερνώντας για πρώτη φορά τα αρχεία Office μετά από τρία χρόνια.
Η έκθεση αυτή παρέχει μια αναλυτική αναφορά των επιθέσεων στον κυβερνοχώρο σε πραγματικές συνθήκες, βοηθώντας τους οργανισμούς να συμβαδίζουν με τις τελευταίες τεχνικές που χρησιμοποιούν οι εγκληματίες του κυβερνοχώρου για να αποφεύγουν την ανίχνευση και να παραβιάζουν τους χρήστες στο ταχέως μεταβαλλόμενο τοπίο του κυβερνοεγκλήματος.
Tο 44% του κακόβουλου λογισμικού παραδόθηκε μέσα από φακέλους αρχειοθέτησης αρχείων
Με βάση δεδομένα από εκατομμύρια endpoints όπου εκτελείται το HP Wolf Security, η έκθεση έδειξε ότι το 44% του κακόβουλου λογισμικού παραδόθηκε μέσα από φακέλους αρχειοθέτησης αρχείων – αύξηση 11% σε σχέση με το προηγούμενο τρίμηνο – σε σύγκριση με το 32% που παραδόθηκε μέσω αρχείων Office, όπως το Microsoft Word, το Excel και το PowerPoint.
Η έκθεση εντόπισε διάφορες ενέργειες που συνδύαζαν τη χρήση αρχείων με νέες τεχνικές παράνομης διακίνησης HTML – όπου οι εγκληματίες του κυβερνοχώρου ενσωματώνουν κακόβουλα αρχεία σε αρχεία HTML για να παρακάμψουν τις πύλες ηλεκτρονικού ταχυδρομείου – ώστε στη συνέχεια να εξαπολύσουν επιθέσεις.
Για παράδειγμα, οι πρόσφατες εκστρατείες QakBot και IceID χρησιμοποίησαν αρχεία HTML για να κατευθύνουν τους χρήστες σε ψεύτικα διαδικτυακά προγράμματα προβολής εγγράφων που εμφανίζονταν ως Adobe. Στη συνέχεια, οι χρήστες έλαβαν οδηγίες να ανοίξουν ένα αρχείο ZIP και να εισάγουν έναν κωδικό πρόσβασης για να αποσυμπιέσουν τα αρχεία, τα οποία στη συνέχεια δημιουργούσαν κακόβουλο λογισμικό στους υπολογιστές τους.
H ανίχνευση από την πύλη ηλεκτρονικού ταχυδρομείου ή άλλα εργαλεία ασφαλείας είναι πολύ δύσκολη
Καθώς το κακόβουλο λογισμικό στο αρχικό αρχείο HTML είναι κωδικοποιημένο και κρυπτογραφημένο, η ανίχνευση από την πύλη ηλεκτρονικού ταχυδρομείου ή άλλα εργαλεία ασφαλείας είναι πολύ δύσκολη.
Αντ’ αυτού, αυτός που επιτίθεται διαδικτυακά βασίζεται στην Κοινωνική Μηχανική (χειραγώγηση με σκοπό την απόσπαση πληροφοριών), δημιουργώντας μια πειστική και καλά σχεδιασμένη ιστοσελίδα για να ξεγελάσει τους χρήστες ώστε να ξεκινήσουν οι ίδιοι την επίθεση ανοίγοντας το κακόβουλο αρχείο ZIP.
Τον Οκτώβριο, οι ίδιοι επιτιθέμενοι εντοπίστηκαν επίσης να χρησιμοποιούν ψεύτικες σελίδες του Google Drive σε μια συνεχή προσπάθεια να εξαπατήσουν τους χρήστες ώστε να ανοίξουν κακόβουλα αρχεία ZIP.
Τα αρχεία είναι εύκολο να κρυπτογραφηθούν, βοηθώντας τους φορείς απειλών να αποκρύψουν κακόβουλο λογισμικό
“Τα αρχεία είναι εύκολο να κρυπτογραφηθούν, βοηθώντας τους φορείς απειλών να αποκρύψουν κακόβουλο λογισμικό και να αποφύγουν τα web proxies, τα sandboxes ή τους σαρωτές ασφαλείας του ηλεκτρονικού ταχυδρομείου.
Αυτό καθιστά δύσκολη την ανίχνευση των επιθέσεων, ειδικά όταν συνδυάζονται με τεχνικές παράνομης διακίνησης HTML.
Αυτό που ήταν ενδιαφέρον με τις εκστρατείες QakBot και IceID ήταν η προσπάθεια που καταβλήθηκε για τη δημιουργία ψεύτικων σελίδων – αυτές οι εκστρατείες ήταν περισσότερο πειστικές από ό,τι έχουμε δει στο παρελθόν, καθιστώντας δύσκολο για τους ανθρώπους να γνωρίζουν ποια αρχεία μπορούν και ποια δεν μπορούν να εμπιστευτούν”, εξηγεί ο Alex Holland, Senior Malware Analyst, από την ομάδα HP Wolf Security threat research της HP Inc.
Η HP εντόπισε επίσης μια σύνθετη εκστρατεία επίθεσης
Η HP εντόπισε επίσης μια σύνθετη εκστρατεία επίθεσης που χρησιμοποιεί μια αλυσίδα μόλυνσης με διαβαθμίσεις, η οποία θα μπορούσε ενδεχομένως να επιτρέψει στους επιτιθέμενους να αλλάξουν το ωφέλιμο φορτίο (το τμήμα του κακόβουλου λογισμικού που εκτελεί την κακόβουλη/ μολυσματική ενέργεια) – όπως spyware, ransomware, keylogger – στη μέση της εκστρατείας επίθεσης ή να εισάγουν νέα χαρακτηριστικά, όπως geo-fencing.
Αυτό θα μπορούσε να επιτρέψει σε έναν επιτιθέμενο να αλλάξει τακτική ανάλογα με τον στόχο που έχει παραβιάσει. Ακόμα πιο δύσκολο για τις πύλες ηλεκτρονικού ταχυδρομείου να ανιχνεύσουν αυτόν τον τύπο επίθεσης είναι η μη συμπερίληψη κακόβουλου λογισμικού απευθείας στο συνημμένο αρχείο που αποστέλλεται στον στόχο.
“Όπως φαίνεται, οι επιτιθέμενοι αλλάζουν συνεχώς τεχνικές, καθιστώντας πολύ δύσκολο τον εντοπισμό τους από τα εργαλεία ανίχνευσης”, σχολιάζει ο Dr. Ian Pratt, Global Head of Security for Personal Systems, της HP Inc.
Η συνέχεια του άρθρου εδώ.