Formatele de arhivă, precum fişierele ZIP şi RAR, au fost cea mai frecventă formă pentru livrarea de malware, în al treilea trimestru din acest an, depăşind fişierele Office pentru prima dată în ultimii trei ani, reiese dintr-un raport HP Wolf Security.
Astfel, pe baza datelor provenite de la milioane de terminale care rulează HP Wolf Security, studiul arată că, în trimestrul III al acestui an, 44% dintre programele malware au fost livrate în fişiere de arhivă, în creştere cu 11% faţă de trimestrul precedent. Prin comparaţie, aproape o treime (32%) dintre programele malware au fost livrate prin intermediul fişierelor Office, cum ar fi Microsoft Word, Excel şi PowerPoint.
De asemenea, raportul de specialitate a identificat mai multe campanii care combină utilizarea fişierelor de arhivă cu noi tehnici de hacking HTML – în care infractorii cibernetici integrează fişiere de arhivă maliţioase în fişiere HTML pentru a ocoli instrumentele de securitate şi a lansa ulterior atacuri.
Citește și:
De exemplu, campaniile recente QakBot şi IceID au folosit fişiere HTML pentru a direcţiona utilizatorii către documente online false disimulate ca fiind Adobe. Utilizatorii erau apoi instruiţi să deschidă un fişier ZIP şi să introducă o parolă pentru a deschide fişierele, care apoi implementau programe malware pe PC-urile lor.
În plus, în luna octombrie, aceiaşi atacatori au fost descoperiţi folosind pagini Google Drive false, încercând să convingă utilizatorii să deschidă fişiere ZIP maliţioase.
Experţii HP au identificat şi o campanie complexă care folosea un lanţ de infectare modular, care ar putea permite hackerilor să schimbe conţinutul maliţios (spyware, ransomware, keylogger) în mijlocul campaniei sau să introducă noi caracteristici, cum ar fi geo-fencing.
Acest lucru i-ar putea permite unui hacker să schimbe tacticile în funcţie de ţinta vizată. Acest tip de atac e mai greu de depistat şi din cauza faptului că malware-ul nu este inclus direct în ataşamentul trimis către ţintă. HP Wolf Security execută sarcini riscante, cum ar fi deschiderea ataşamentelor de e-mail, descărcarea de fişiere şi deschiderea de linkuri în micro-maşini virtuale izolate, pentru a-i proteja pe utilizatori, captând urme detaliate ale încercărilor de infectare.
Citește și:
Tehnologia HP de izolare a aplicaţiilor atenuează ameninţările care pot trece de alte instrumente de securitate şi oferă informaţii unice despre tehnicile noi şi despre comportamentul infractorilor cibernetici. Până în prezent, clienţii HP au deschis peste 18 miliarde de ataşamente de e-mail, pagini web şi fişiere, fără să fie raportate breşe.
Datele cuprinse în studiul HP au fost colectate în mod anonim de la clienţii HP Wolf Security în perioada iulie-septembrie 2022.
Foto: Dreamstime