Securitate — August 11, 2022 at 9:58 am

Hackerii nu mai accesează macrocomenzi și vizează acum fișierele Shortcut pentru a intra în computerele companiilor

by

HP Wolf Security streetHP Inc. a publicat raportul trimestrial Threat Insights, care arată că infractorii cibernetici care răspândesc familii de programe malware – inclusiv QakBot, IceID, Emotet și RedLine Stealer – se orientează către fișierele Shortcut (LNK) pentru a le livra.

Comenzile rapide înlocuiesc macrocomenzile Office – care încep să fie blocate implicit în Office – ca modalitate prin care hackerii accesează rețele, păcălindu-i pe utilizatori să își infecteze PC-urile cu programe malware. Odată dobândit, accesul poate fi folosit pentru a fura date importante ale companiei sau poate fi vândut unor grupuri de ransomware, ceea ce ar provoca breșe la scară largă care ar putea bloca operațiunile și pentru care ar fi nevoie de costuri semnificative de remediere.

Cel mai recent raport global HP Wolf Security Threat Insights – care oferă o analiză a atacurilor cibernetice din lumea reală – arată o creștere de 11% a numărului de fișiere de arhivă care conțin malware, inclusiv fișiere LNK. Infractorii cibernetici plasează deseori fișiere Shortcut în atașamente ZIP, evitând astfel filtrele de securitate care scanează e-mailul.

„Pe măsură ce macrocomenzile de pe web sunt blocate implicit în Office, urmărim îndeaproape metodele alternative de execuție testate de infractorii cibernetici. Deschiderea unei comenzi rapide sau a unui fișier HTML poate părea inofensivă pentru un angajat, dar poate avea ca rezultat un risc major pentru companie”, explică Alex Holland – Senior Malware Analyst în cadrul echipei HP Wolf Security. „Organizațiile trebuie să ia acum măsuri pentru a se proteja împotriva tehnicilor folosite de hackeri sau vor rămâne expuse, pe măsură ce noul mod de operare devine omniprezent. Recomandăm, acolo unde este posibil, blocarea imediată a fișierelor de tip Shortcut primite ca atașamente de e-mail sau descărcate de pe web.”

Top malware filesIzolând amenințările cibernetice care au evitat instrumentele de detectare, HP Wolf Security are o perspectivă aplicată asupra celor mai recente tehnici folosite de infractorii cibernetici. Pe lângă creșterea numărului de fișiere LNK, echipa de cercetare a mai descoperit:

• Mai multe campanii de phishing care au folosit e-mailuri ce pretindeau a fi inițiate de servicii poștale regionale sau de evenimente majore, precum Doha Expo 2023 (care va atrage peste 3 milioane de participanți la nivel mondial), pentru a livra programe malware. Folosind această tehnică, fișiere periculoase care în mod mormal ar fi blocate de filtrele de securitate pot fi introduse clandestin în organizații.
• Hackerii exploatează fereastra de vulnerabilitate creată de Follina (CVE-2022-30190 – vulnerabilitate Zero Day din Microsoft Support Diagnostic Tool (MSDT) pentru a distribui QakBot, Agent Tesla și Remcos RAT (Remote Access Trojan) înainte ca o solutie de tip patch să fie disponibilă. Această vulnerabilitate este deosebit de periculoasă, deoarece permite infractorilor cibernetici să ruleze un cod arbitrar pentru a implementa programe malware și necesită o interacțiune redusă din partea utilizatorului.
• O campanie care distribuie o nouă familie de malware, numită SVCReady, care se remarcă prin modul neobișnuit în care este livrată pe PC-urile țintă – printr-un shellcode (bucată de cod folosită ca sarcină utilă în exploatarea unei vulnerabilități software) ascuns în proprietățile documentelor Office. Programul malware – conceput în special pentru a descărca malware secundar în computerele infectate – se află încă într-un stadiu incipient de dezvoltare, fiind actualizat de mai multe ori în ultimele luni.

Constatările se bazează pe datele provenite de la milioane de puncte terminale care utilizează HP Wolf Security. HP Wolf Security execută sarcini riscante – cum ar fi deschiderea de atașamente de e-mail, descărcarea de fișiere și deschiderea de link-uri în micro-mașini virtuale izolate, pentru a-i proteja pe utilizatori – și înregistrează urme detaliate ale încercărilor de infectare. Tehnologia HP de izolare a aplicațiilor atenuează amenințările care pot evita alte instrumente de securitate și oferă informații unice despre noile tehnici folosite și despre comportamentul infractorilor cibernetici. Până în prezent, clienții HP au accesat peste 18 miliarde de atașamente de e-mail, pagini web și fișiere descărcate, fără să fie raportate breșe.

HP-Wolf-InfographicAlte constatări ale raportului:

• 14% dintre programele malware înregistrate de HP Wolf Security au ocolit cel puțin un instrument de securitate.
• Hackerii au folosit 593 de familii malware diferite, față de 545 în trimestrul precedent.
• Foile de calcul au rămas principalul tip de fișier malițios, dar echipa de cercetare a observat o creștere de 11% a amenințărilor cu fișiere de tip arhivă – ceea ce sugerează că hackerii plasează tot mai des malware în fișiere de arhivă pentru a evita detectarea.
• 69% dintre programele malware detectate au fost livrate prin e-mail, în timp ce descărcările de pe internet au fost responsabile pentru 17%.
• Cele mai frecvente momeli phishing au fost tranzacțiile de afaceri, cum ar fi “Order”, “Payment”, “Purchase”, “Request” și “Invoice”.

Datele au fost colectate în mod anonim de la clienții HP Wolf Security în perioada aprilie-iunie 2022.