Впервые за три года файлы Microsoft Office больше не являются наиболее распространенным типом файлов для распространения вредоносных программ. Это согласно последнему отчету Threat Insights компании HP Wolf Security (откроется в новой вкладке) за третий квартал 2022 года.
Проанализировав данные с «миллионов конечных точек», на которых работает ее решение по кибербезопасности, HP пришла к выводу, что архивные файлы (например, архивы .ZIP и .RAR) обгоняют файлы Office и становятся наиболее распространенными источниками распространения вредоносного ПО.
Фактически, 44% всех вредоносных программ, выпущенных в третьем квартале 2022 года, использовали этот формат, что на 11% больше, чем во втором квартале. С другой стороны, на файлы Office приходилось 32% всех распространений вредоносного ПО.
Обход защиты
HP также обнаружила, что сжатые файлы обычно комбинируются с методом контрабанды HTML, при котором киберпреступники встраивают вредоносные сжатые файлы в файлы HTML, чтобы избежать обнаружения решениями по обеспечению безопасности электронной почты.
«Файлы легко зашифровать, что помогает хакерам скрывать вредоносное ПО и обходить веб-прокси, песочницы или сканеры электронной почты», — сказал Алекс Холланд, старший аналитик по вредоносному ПО в группе исследования угроз безопасности HP Wolf.
«Это затрудняет обнаружение атак, особенно в сочетании с методами контрабанды HTML».
В качестве примера Голландия привела недавние кампании QakBot и IceID. В этих кампаниях HTML-файлы использовались для направления жертв к поддельным программам онлайн-просмотра документов, где жертвам предлагалось открыть ZIP-файл и разблокировать его с помощью пароля. Это может заразить ваши конечные точки вредоносным ПО.
«Что было интересно в кампаниях QakBot и IceID, так это усилия, затраченные на создание фейковых страниц: эти кампании были более убедительными, чем те, которые мы видели раньше, из-за чего людям было трудно понять, каким файлам они могут доверять, а каким нет», — Олланд добавлен.
HP также заявила, что киберпреступники разработали свою тактику для разработки «сложных кампаний» с модульной цепочкой заражения.
Это позволяет им менять тип вредоносного ПО в середине кампании в зависимости от ситуации. Мошенники могут распространять шпионское ПО, программы-вымогатели или похитители информации, используя одну и ту же тактику заражения.
По мнению исследователей, лучший способ защититься от этих атак — использовать подход безопасности с нулевым доверием.
«Следуя принципу тонкой изоляции нулевого доверия, организации могут использовать микровиртуализацию, чтобы гарантировать, что потенциально вредоносные задачи, такие как нажатие на ссылки или открытие вредоносных вложений, выполняются на отдельной одноразовой виртуальной машине в базовых системах», — сказал доктор Ян Пратт. , глобальный руководитель отдела безопасности персональных систем HP.
«Этот процесс полностью невидим для пользователя и улавливает любое скрытое внутри вредоносное ПО, гарантируя, что злоумышленники не смогут получить доступ к конфиденциальным данным и не дадут им получить доступ и перемещаться в горизонтальном направлении».