Згідно з аналізом реальних кібератак і даних, зібраних з мільйонів ПК, файли ZIP і RAR випередили документи Office як файли, які найчастіше використовують кіберзлочинці для доставки зловмисного програмного забезпечення.
Дослідження, засноване на даних клієнтів HP Wolf Security , показало, що в період з липня по вересень цього року 42% спроб атак зловмисного програмного забезпечення використовували формати архівних файлів, включаючи ZIP і RAR.
Це означає, що кібератаки, спрямовані на використання форматів ZIP і RAR, є більш поширеними, ніж ті, які намагаються доставити зловмисне програмне забезпечення за допомогою документів Microsoft Office , таких як файли Microsoft Word і Microsoft Excel, які вже давно є кращим методом спонукання жертв завантажувати зловмисне програмне забезпечення.
За словами дослідників, це вперше за понад три роки, коли архівні файли перевершили файли Microsoft Office як найпоширеніший засіб доставки шкідливих програм.
Шифрування зловмисного програмного забезпечення та приховування його в архівних файлах надає хакерам можливість обійти багато засобів захисту.
«Архіви легко шифрувати, що допомагає зловмисникам приховувати зловмисне програмне забезпечення та обходити веб-проксі, пісочниці або сканери електронної пошти. Це ускладнює виявлення атак, особливо в поєднанні з методами контрабанди HTML», — сказав Алекс Холланд, старший аналітик групи дослідження загроз HP Wolf Security.
У багатьох випадках зловмисники створюють фішингові електронні листи , які виглядають так, ніби вони надходять від відомих брендів і постачальників онлайн-послуг, які намагаються обманом змусити користувача відкрити та запустити шкідливий файл ZIP або RAR.
Це включає використання зловмисних файлів HTML в електронних листах, які маскуються під PDF-документи, які, якщо їх запустити, показують підроблений онлайн-переглядач документів, який декодує ZIP-архів. Якщо його завантажить користувач, він заразиться шкідливим програмним забезпеченням.
Відповідно до аналізу HP Wolf Security, однією з найвідоміших кампаній зловмисного програмного забезпечення, яка зараз покладається на ZIP-архіви та шкідливі файли HTML, є Qakbot – сімейство зловмисних програм, яке використовується не лише для викрадення даних, але й як бекдор для розгортання програм-вимагачів .
Qakbot знову з’явився у вересні зі шкідливими повідомленнями, надісланими електронною поштою, які стверджували, що вони пов’язані з онлайн-документами, які потрібно відкрити. Якщо архів був запущений, він використовував шкідливі команди для завантаження та виконання корисного навантаження у формі бібліотеки динамічних посилань, а потім запускав за допомогою законних, але часто зловживаних, інструментів у Windows.
Невдовзі після цього кіберзлочинці, які розповсюджували IcedID — різновид шкідливого програмного забезпечення, яке встановлюється для активації практичних атак програм-вимагачів, керованих людьми, — почали використовувати шаблон, майже ідентичний тому, який використовував Qakbot, щоб зловживати архівними файлами, щоб обманом спонукати жертв завантажувати шкідливе програмне забезпечення.
Обидві кампанії докладали зусиль для того, щоб електронні листи та фальшиві HTML-сторінки виглядали законно, щоб обдурити якомога більше жертв.
«Що було цікаво в кампаніях QakBot і IcedID, так це зусилля, докладені для створення фейкових сторінок – ці кампанії були більш переконливими, ніж те, що ми бачили раніше, тому людям було важко зрозуміти, яким файлам можна довіряти, а яким ні. “, – сказав Холланд.
Також було помічено, що група програм-вимагачів зловживає файлами ZIP і RAR таким чином. За даними HP Wolf Security, кампанія, яка поширювалася групою програм-вимагачів Magniber, була націлена на домашніх користувачів з атаками, які шифрували файли та вимагали від жертв 2500 доларів США.
У цьому випадку зараження починається із завантаження з веб-сайту, контрольованого зловмисниками, який просить користувачів завантажити ZIP-архів, що містить файл JavaScript, який нібито є важливим оновленням антивірусної програми або програмного забезпечення Windows 10. Якщо запустити його та виконати, програма завантажує та встановлює програму-вимагач.
До останньої кампанії Magniber програмне забезпечення-вимагач поширювалося через файли MSI та EXE, але, як і інші кіберзлочинні групи, вони помітили успіх, якого можна досягти, доставляючи корисні навантаження, приховані в архівних файлах.
Кіберзлочинці постійно змінюють свої атаки, і фішинг залишається одним із ключових методів доставки зловмисного програмного забезпечення, тому що часто важко виявити, чи електронний лист або файли є законними, особливо якщо вони вже проскочили, сховавши зловмисне навантаження десь, де антивірусне програмне забезпечення може його не виявити.
Користувачів закликають з обережністю ставитися до термінових запитів на відкриття посилань і завантаження вкладень, особливо з неочікуваних або невідомих джерел.
Джерело: ZDNet