Archivní soubory předběhly ve škodlivosti Office
Na základě údajů z milionů koncových zařízení se systémem HP Wolf Security se zjistilo, že 44 % malwaru bylo skryto v doručených archivních souborech, což je o 11 % více než v předchozím čtvrtletí, zatímco 32 % se skrývalo v souborech Office, jako jsou Microsoft Word, Excel a PowerPoint.
Zpráva informuje o několika útočných kampaních, kombinujících použití archivních souborů s novými technikami propašování škodlivého kódu do souborů HTML. Kyberzločinci vkládají škodlivé archivní soubory do souborů HTML, aby obešli e‑mailové brány, a následně provedli útok.
Například nedávné útoky QakBot a IceID využívaly soubory HTML k přesměrování uživatelů na falešné online prohlížeče dokumentů, které se vydávaly za stránky provozované firmou Adobe. Uživatelé byli následně instruováni, aby otevřeli soubor ZIP a zadali heslo pro rozbalení souborů, které pak do jejich počítačů nasadily malware.
Protože je malware v původním souboru HTML zakódován a zašifrován, je jeho detekce e-mailovou bránou nebo jinými bezpečnostními nástroji velmi obtížná. Útočník se spoléhá na sociální inženýrství a vytvoří přesvědčivou a graficky dobře zpracovanou webovou stránku, jejímž cílem je oklamat uživatele a přimět ho ke spuštění útoku otevřením škodlivého souboru ZIP. V říjnu se zjistilo, že titíž útočníci použili podvržené stránky Google Disku – rovněž s cílem přimět uživatele k otevření infikovaných souborů ZIP.
„Archivy lze jednoduše šifrovat, takže do nich útočníci mohou skrýt malware, a obejít tak webové proxy servery, sandboxy nebo programy na kontrolu e-mailů. To znesnadňuje odhalení útoků, zejména pokud při nich útočník zároveň použije techniky propašování HTML kódu. Na kampaních QakBot a IceID bylo pozoruhodné, kolik úsilí útočníci věnovali vytvoření falešných stránek. Tyto kampaně působily věrohodněji než dřívější útoky, a pro uživatele proto nebylo snadné rozpoznat, kterým souborům mohou či nemohou věřit,“ vysvětlil Alex Holland, Senior Malware Analyst výzkumného týmu HP Wolf Security společnosti HP Inc.
Společnost HP odhalila také detailně propracovanou kampaň využívající modulární řetězec infekce, který by útočníkům dovolil změnit typ útoku i v průběhu kampaně. Například využít k útoku spyware, ransomware či keylogger – případně zavést nové funkce, jako je geo-fencing. To by útočníkovi umožnilo měnit taktiku v závislosti na napadeném cíli. Vzhledem k tomu, že malware není obsažen přímo v příloze odeslané adresátovi, je pro e-mailové brány také obtížnější tento typ útoku rozkrýt.
„Jak se ukázalo, útočníci neustále mění techniky, takže je pro detekční nástroje velmi obtížné je odhalit,“ podotkl dr. Ian Pratt, globální ředitel pro zabezpečení osobních systémů společnosti HP Inc. „Při použití mikrovirtualizace mohou organizace uplatněním principu nulové důvěry a detailně propracované izolace zajistit, aby se potenciálně škodlivé úlohy – jako jsou procesy iniciované kliknutím na odkaz nebo otevřením škodlivé přílohy – spouštěly v jednorázovém virtuálním počítači, odděleném od základních systémů. Tento proces je z hlediska uživatele zcela neviditelný a dokáže zachytit veškerý skrytý malware, proto útočníci nemohou získat přístup k citlivým datům, a nemohou tedy do systému proniknout a dále pokračovat v útoku.“
HP Wolf Security spouští rizikové úlohy, například otevírání e-mailových příloh, stahování souborů a klikání na odkazy, v izolovaných mikrovirtuálních počítačích (micro-VM), aby chránil uživatele a podrobně analyzoval pokusy o infikování počítače. Technologie izolace aplikací společnosti HP zmírňuje hrozby, jež mohou zůstat nezachyceny jinými bezpečnostními nástroji, a poskytuje jedinečné informace o nových technikách napadení a chování útočníků. Díky izolaci hrozeb, které dokázaly na počítačích obejít detekční nástroje, má HP Wolf Security detailní přehled o nejnovějších technikách používaných kybernetickými zločinci. Do této chvíle klikli zákazníci HP na více než 18 miliard e-mailových příloh, webových stránek a souborů ke stažení, aniž by došlo k narušení bezpečnosti.
