HP Inc. (NYSE: HPQ) a publicat cel mai recent Threat Insights Report, care arată cum infractorii cibernetici își perfecționează campaniile folosind animații cu aspect profesionist și servicii malware disponibile contra cost. Experții HP avertizează că aceste campanii combină elemente vizuale convingătoare, platforme de găzduire cunoscute, precum Discord, și kituri malware actualizate constant, pentru a evita atât vigilența utilizatorilor, cât și instrumentele de detecție.
Raportul oferă o analiză a atacurilor cibernetice din lumea reală, ajutând organizațiile să țină pasul cu cele mai noi tehnici utilizate de infractorii cibernetici. Pe baza milioanelor de puncte terminale protejate de HP Wolf Security, campaniile notabile identificate de echipa HP Threat Research includ:
• Tehnnica DLL sideloading, care ocolește scanerele de securitate. Infractori cibernetici care se prezentau ca fiind de la Parchetul General din Columbia au trimis avertismente false prin e-mail. Momeala direcționează utilizatorii către un site guvernamental fals, care afișează o animație cu derulare automată, ghidând victimele către o „parolă de unică folosință”. Astfel, sunt induse în eroare să deschidă un fișier arhivă malițios, protejat prin parolă. Odată deschis, fișierul lansează un folder care include o bibliotecă dinamică (DLL – dynamic link library) ascunsă și modificată malițios. Aceasta instalează în fundal malware-ul PureRAT, oferind hackerilor control complet asupra dispozitivului victimei. În medie, doar 4% dintre probele asociate au fost detectate de soluțiile antivirus.
• Actualizare Adobe falsă, care instalează un instrument de acces de la distanță. Un PDF fals, branduit Adobe, redirecționează utilizatorii către un site fraudulos care pretinde că actualizează software-ul de citire PDF. O animație etapizată afișează o bară de instalare falsă, care imită interfața Adobe. Astfel, utilizatorii sunt păcăliți să descarce un executabil ScreenConnect modificat – un instrument legitim de acces la distanță – care se conectează ulterior la servere controlate de infractorii cibernetici, permițând compromiterea dispozitivului.
• Malware găzduit pe Discord, care evită mecanismele de apărare din Windows 11. Hackerii și-au găzduit payload-ul pe Discord pentru a evita construirea propriei infrastructuri și pentru a profita de reputația Discord. Înainte de livrare, malware-ul modifică protecția Memory Integrity din Windows 11 pentru a ocoli această funcție de securitate. Lanțul de infectare livrează apoi Phantom Stealer, un infostealer pe bază de abonament vândut pe piețele de hacking, cu funcționalități preconfigurate de furt de credențiale și date financiare, actualizate frecvent pentru a evita soluțiile moderne de securitate.
Patrick Schläpfer, expert în cadrul HP Security Lab: „Infractorii cibernetici folosesc animații rafinate, precum bare de încărcare false și solicitări de parole, pentru a face site-urile malițioase să pară credibile și urgente. În același timp, se bazează pe malware comercial, disponibil pe bază de abonament, complet funcțional și actualizat la fel de rapid ca software-ul legitim. Acest lucru îi ajută să fie un pas înaintea soluțiilor de securitate bazate pe detecție și să treacă de mecanismele de apărare cu un efort mult redus.”
În loc să fure parole sau să ocolească autentificarea multifactor (MFA), hackerii deturnează cookie-urile care demonstrează că un utilizator este deja autentificat, obținând astfel acces instantaneu la sisteme sensibile. Analiza HP a datelor publice despre atacuri cibernetice a evidențiat faptul că peste jumătate (57%) dintre principalele familii de malware din T3 2025 au fost infostealere – un tip de malware care include, de regulă, capabilități de furt de cookie-uri.
Raportul, care analizează datele din perioada iulie-septembrie 2025, detaliază modul în care infractorii cibernetici continuă să își diversifice metodele de atac pentru a ocoli soluțiile de securitate.
• Cel puțin 11% dintre amenințările prin e-mail identificate de HP Sure Click au ocolit unul sau mai multe scanere de tip email gateway.
• Fișierele arhivă au fost cel mai popular vector de livrare (45%), înregistrând o creștere de 5 puncte procentuale față de T2, hackerii utilizând tot mai frecvent arhive malițioase .tar și .z.
• În T3, 11% dintre amenințările blocate de HP Wolf Security au fost fișiere PDF, în creștere cu 3 puncte procentuale față de trimestrul anterior.
Atașament HTML de phishing care imită WeTransfer
Dr. Ian Pratt, Global Head of Security for Personal Systems în cadrul HP Inc.: „Pe măsură ce infractorii cibernetici abuzează de platforme legitime, imită branduri de încredere și adoptă trucuri vizuale convingătoare, precum animațiile, chiar și cele mai solide instrumente de detecție vor rata unele amenințări. Echipele de securitate nu pot anticipa fiecare atac. Însă, prin izolarea interacțiunilor cu risc ridicat – cum ar fi deschiderea fișierelor și a paginilor web nesigure – organizațiile obțin o plasă de siguranță care limitează amenințările înainte ca acestea să producă daune.”
Până în prezent, clienții HP Wolf Security au accesat peste 55 de miliarde de atașamente de e-mail, pagini web și fișiere descărcate, fără nicio breșă raportată.
Datele studiului au fost colectate de la clienți HP Wolf Security care și-au dat consimțământul, în perioada iulie – septembrie 2025, iar analiza a fost realizată de echipa HP Threat Research.
