Число зловмисників, які використовують шкідливі файли надбудов Microsoft Excel (.xll) для зараження систем своїх жертв, збільшилося майже в сім разів у порівнянні з минулим кварталом. Такі атаки виявилися надзвичайно небезпечними, т.к. Для початку роботи шкідливого ПЗ достатньо лише клікнути по відправленому кіберзлочинцем файлу. Команда також виявила в даркнеті рекламу «дроперів» (програмного забезпечення для доставки та запуску .xll файлів) та цілих наборів для створення програм, які полегшують проведення подібних кампаній для недосвідчених зловмисників.
Під час нещодавньої спам-кампанії QakBot зловмисники розповсюджували файли Excel через скомпрометовані облікові записи електронної пошти. Злочинці перехоплювали електронну листування і відправляли підроблені повідомлення у відповідь з прикріпленим шкідливим файлом Excel (.xlsb). Після доставки на пристрій жертви QakBot впроваджується в процеси ОС, щоб таким чином уникнути виявлення. Шкідливі файли Excel (.xls) також використовувалися поширення банківського трояна Ursnif серед італійомовних підприємств та закупівельних організацій державного сектора у вигляді спаму. При цьому зловмисники видавали себе службовцями італійської кур'єрської служби BRT. Нові кампанії з розповсюдження шкідливих програм Emotet тепер використовують Excel замість файлів JavaScript або Word.
Серед інших помітних загроз, виявлених фахівцями з безпеки HP Wolf Security, можна виділити такі:
Можливе повернення TA505. Фахівці HP виявили фішингову кампанію MirrorBlast, в рамках якої хакери використовували ті ж тактики, методи та процедури, що й TA505 – група зловмисників, відома масовими кампаніями з розсилкою шкідливого спаму та монетизацією доступу до заражених систем за допомогою програм-вимог. Нова кампанія націлена на організації та використовує троян віддаленого доступу FlawedGrace (RAT).
Підроблена ігрова платформа, що розповсюджує шкідливий код RedLine. Фахівцями HP був виявлений підроблений веб-сайт з клієнтом Discord, зараженим кодом RedLine, який викрадав дані користувачів.
Використання хакерами незвичайних типів файлів все ще дозволяє оминати системи безпеки. Група кіберзлочинців Aggah вибирає як жертв корейськомовні організації та використовує шкідливі файли надбудов PowerPoint (.ppa), замасковані під замовлення від клієнтів, щоб заражати системи троянами віддаленого доступу. Атаки через поширення заражених файлів PowerPoint є дуже непопулярним вибором і становлять лише 1% шкідливих програм.
«Використання стандартних функцій програмного забезпечення в злочинних цілях є звичайною тактикою для зловмисників, щоб уникнути виявлення - так само як і використання незвичайних типів файлів, які здатні «проникнути» через поштові шлюзи, не виявивши себе. Відділам безпеки не слід покладатися виключно на технології виявлення вторгнень: важливо уважно стежити за появою нових загроз та відповідним чином оновлювати свій захист. Так, враховуючи сплеск розповсюдження шкідливих файлів .xll, який ми сьогодні спостерігаємо, ми наполегливо рекомендуємо мережевим адміністраторам налаштовувати шлюзи електронної пошти для блокування вхідних вкладень .xll, роблячи виключення тільки для надбудов від довірених партнерів, або повністю відключати надбудови Excel. (Alex Holland), старший аналітик шкідливих програм у групі дослідження загроз HP Wolf Security, HP Inc. - Зловмисники постійно знаходять нові засоби, що дозволяють уникати виявлення. Саме тому важливо, щоб підприємства вибудовували та коригували свої системи безпеки залежно від ландшафту загроз та від бізнес-потреб своїх користувачів. Зловмисники сьогодні активно використовують такі методи атак, як перехоплення листування в електронній пошті, через що користувачам стає ще важче відрізнити колег та партнерів від злочинців».
Наведені у звіті висновки базуються на результатах аналізу багатьох мільйонів кінцевих пристроїв, на яких працює програмне забезпечення HP Wolf Security. Це програмне забезпечення від HP відстежує шкідливі програми, відкриваючи файли, що завантажуються, на ізольованих мікро-віртуальних машинах (мікро-ВМ), щоб вивчити механіку зараження. Розуміння поведінки шкідливих програм у їхньому природному середовищі дозволяє дослідникам та інженерам HP Wolf Security посилювати захист кінцевих пристроїв та підвищувати стабільність системи.
Завдяки програмному забезпеченню HP Wolf Security клієнти змогли відкрити понад 10 мільярдів вкладень електронної пошти, веб-сторінок та завантажених файлів без будь-яких зафіксованих витоків.
Серед інших ключових висновків дослідження:
13% ізольованих шкідливих скриптів, відправлених електронною поштою, обійшли хоча б один сканер безпеки на поштовому шлюзі.У спробах заразити комп'ютери організацій зловмисники використали 136 різних розширень файлів.
77% виявлених шкідливих програм було доставлено електронною поштою, при цьому на завантаження з Інтернету припадало лише 13% з них.
Найбільш поширеними вкладеннями, що використовуються для доставки шкідливих програм, були документи (29%), архіви (28%), файли .exe (21%) та електронні таблиці (20%).
Найбільш поширеними фішинговими принадами стали листи, пов'язані з Новим роком або бізнес-операціями, наприклад, з такими темами як «Замовлення», «2021/2022», «Оплата», «Покупка», «Заявка» та «Рахунок».
«Сьогодні зловмисники, які займаються низькорівневими атаками, можуть проводити приховані напади та продавати отриманий доступ організованим групам кіберзлочинців, які використовують у своїй діяльності програми-вимагачі. В результаті це призводить до масштабних атак, які можуть вивести з ладу ІТ-системи і призвести до зупинки роботи всієї організації, коментує д-р Йен Пратт (Ian Pratt), глобальний керівник відділу безпеки персональних систем, HP Inc. – Організаціям слід зосередитись на зменшенні поверхні атак та забезпеченні швидкого відновлення працездатності своїх систем у разі їх компрометації. Це означає дотримання принципів Zero Trust та введення суворих систем ідентифікації, надання мінімальних привілеїв користувачам та ізоляції пристроїв, починаючи з апаратного рівня».
Дані для дослідження були зібрані спеціалістами HP Wolf Security з віртуальних машин клієнтів у період із жовтня по грудень 2021 року.
bbabo.Net