Hackerii combină tehnici de tip „living-off-the-land” pentru a exploata punctele slabe ale sistemelor de detectare
HP Inc. (NYSE: HPQ) a publicat cel mai recent raport Threat Insights, care evidențiază modul în care tehnicile clasice de living-off-the-land (LOTL) și phishing evoluează pentru a ocoli soluțiile tradiționale de securitate. Tehnicile LOTL – prin care infractorii cibernetici folosesc unelte și funcționalități legitime ale unui sistem pentru a-și desfășura atacurile – reprezintă de mult timp o componentă de bază a arsenalului acestora. Totuși, experții HP atrag atenția că utilizarea tot mai frecventă face și mai dificilă diferențierea dintre activitatea legitimă și cea malițioasă.
Raportul oferă o analiză a atacurilor cibernetice din lumea reală, ajutând organizațiile să țină pasul cu cele mai recente tehnici. Pe baza datelor furnizate de milioane de puncte terminale care rulează HP Wolf Security au fost identificate mai multe campanii.
• Facturile false Adobe Reader marchează un nou val de capcane ultrasofisticate. Hackerii au ascuns un script care le permite controlul de la distanță asupra dispozitivului victimei. Scriptul era inserat într-o mică imagine SVG, deghizată într-un fișier Adobe Acrobat Reader extrem de realist, cu tot cu bară falsă de încărcare – creând iluzia unui upload în curs și crescând șansele ca utilizatorul să deschidă fișierul și să declanșeze lanțul de infectare. Descărcarea a fost limitată geografic la regiuni vorbitoare de limba germană pentru a reduce expunerea, împiedicând astfel analiza automată și întârziind detectarea.
• Hackeri care ascund malware în fișiere Pixel Image. Au fost folosite fișiere Microsoft Compiled HTML Help pentru a ascunde cod malițios. Fișierele, mascate drept documente de proiect, conțineau un payload XWorm care a fost extras ulterior și folosit pentru a executa un lanț complex de infectare, bazat pe mai multe tehnici LOTL.
• Reapariția malware-ului Lumma Stealer. Lumma Stealer a fost una dintre cele mai active familii de malware observate în trimestrul al doilea. A fost distribuit prin multiple canale, inclusiv atașamente de tip arhivă IMG ce exploatau tehnici LOTL, pentru a ocoli filtrele de securitate. Deși în mai 2025 autoritățile au lansat o amplă operațiune de destructurare, campaniile au continuat în iunie, iar infractorii cibernetici își înregistrează deja noi domenii și își construiesc infrastructura.
„Infractorii cibernetici nu reinventează roata, ci își perfecționează metodele. Tehnici precum living-off-the-land, reverse shells și phishing există de zeci de ani, dar hackerii de azi le îmbunătățesc. Observăm tot mai des lanțuri complexe de instrumente LOTL și folosirea unor tipuri de fișiere mai puțin evidente, cum ar fi imaginile, pentru a evita detectarea”, subliniază Alex Holland, expert senior în cadrul HP Security Lab.
Aceste campanii arată cât de creativi și adaptabili au devenit infractorii cibernetici. Ascunzând cod malițios în imagini, abuzând de instrumente de sistem de încredere și personalizând atacurile în funcție de regiune, ei fac ca soluțiile tradiționale de securitate să fie mult mai greu de eficientizat.
Prin izolarea amenințărilor care au evitat instrumentele de detecție – dar permițând în același timp ca programele malware să fie activate în siguranță – HP Wolf Security are o perspectivă specifică asupra celor mai recente tehnici folosite de infractorii cibernetici. Până în prezent, clienții HP Wolf Security au deschis peste 55 de miliarde de atașamente de e-mail, pagini web și fișiere descărcate, fără să fie raportate breșe de securitate.
Raportul, care analizează date din perioada aprilie–iunie 2025, detaliază modul în care infractorii cibernetici își diversifică metodele de atac pentru pentru a ocoli instrumentele de detectare.
• Cel puțin 13% dintre amenințările de tip e-mail identificate de HP Sure Click au ocolit unul sau mai multe filtre de securitate.
• Fișierele de tip arhivă au fost cel mai popular vector de livrare (40%), urmate de fișiere executabile și scripturi (35%).
• Hackerii continuă să folosească fișiere de arhiva .rar (26%), ceea ce sugerează că profită de software de încredere, precum WinRAR, pentru a nu atrage atenția.
Pentru a consulta raportul complet, accesați blogul HP Threat Research.
Despre studiu
Datele au fost colectate de la clienții HP Wolf Security care și-au dat acordul, în perioada aprilie-iunie 2025.
