Впервые за три года файлы Microsoft Office больше не являются наиболее распространенным типом файлов для распространения вредоносных программ. Об этом говорится в последнем отчете HP Wolf Security Threat Insights (открывается в новой вкладке) за третий квартал 2022 года.
Проанализировав данные с «миллионов конечных точек», на которых запущено ее решение для кибербезопасности, HP пришла к выводу, что архивные файлы (например, файлы .ZIP и .RAR) обгоняют файлы Office и становятся наиболее распространенным способом распространения вредоносных программ.
Фактически, 44% всех вредоносных программ, выпущенных в третьем квартале 2022 года, использовали этот формат, что на 11% больше, чем во втором квартале. С другой стороны, на офисные файлы приходится 32% всех вредоносных программ.
уклонение от защиты
HP также обнаружила, что сжатые файлы обычно используются в сочетании с методом контрабанды HTML, при котором киберпреступники встраивают вредоносные сжатые файлы в файлы HTML, чтобы избежать обнаружения решениями для защиты электронной почты.
«Файлы легко шифруются, что помогает хакерам скрывать вредоносное ПО и обходить веб-прокси, песочницы или сканеры электронной почты», — сказал Алекс Холланд, старший аналитик по вредоносным программам в группе HP Wolf Security Threat Research.
«Это затрудняет обнаружение атак, особенно в сочетании с методами контрабанды HTML».
Холланд использовал в качестве примера недавние кампании QakBot и IceID. В этих кампаниях файлы HTML использовались для направления жертв к фальшивым средствам просмотра документов в Интернете, где жертвам предлагалось открыть файл .ZIP и разблокировать его с помощью пароля. Это заразит ваши терминалы вредоносными программами.
«Что было интересно в кампаниях QakBot и IceID, так это усилия, затраченные на создание поддельных страниц — эти кампании были более убедительными, чем все, что мы видели раньше, из-за чего людям было труднее узнать, каким файлам они могут доверять, а какие нет. ", - добавил Олланд.
HP также сообщила, что киберпреступники развили свою тактику для проведения «сложных кампаний» с модульной цепочкой заражения.
Это позволяет им менять тип вредоносных программ, доставляемых в середине кампании, в зависимости от ситуации. Мошенники могут распространять шпионское ПО, программы-вымогатели или похитители информации, используя одну и ту же тактику заражения.
По мнению исследователей, лучший способ защититься от этих атак — использовать подход безопасности Zero Trust.
«Следуя принципу тонкой изоляции Zero Trust, организации могут использовать микровиртуализацию, чтобы гарантировать, что потенциально вредоносные задачи, такие как переход по ссылкам или открытие вредоносных вложений, выполняются на отдельной одноразовой виртуальной машине. базовые системы, — сказал д-р Ян Пратт, глава HP по безопасности персональных систем.
«Этот процесс полностью невидим для пользователя и перехватывает любые вредоносные программы, скрытые внутри, гарантируя, что злоумышленники не смогут получить доступ к конфиденциальным данным и не позволят им получить доступ и перемещаться в горизонтальном направлении».
