HP Inc. a publicat raportul trimestrial Threat Insights, care arată că infractorii cibernetici care răspândesc familii de programe malware - inclusiv QakBot, IceID, Emotet şi RedLine Stealer - se orientează către fişierele Shortcut (LNK) pentru a le livra.
Comenzile rapide înlocuiesc macrocomenzile Office - care încep să fie blocate implicit în Office - ca modalitate prin care hackerii accesează reţele, păcălindu-i pe utilizatori să îşi infecteze PC-urile cu programe malware. Odată dobândit, accesul poate fi folosit pentru a fura date importante ale companiei sau poate fi vândut unor grupuri de ransomware, ceea ce ar provoca breşe la scară largă care ar putea bloca operaţiunile şi pentru care ar fi nevoie de costuri semnificative de remediere.
Cel mai recent raport global HP Wolf Security Threat Insights - care oferă o analiză a atacurilor cibernetice din lumea reală - arată o creştere de 11% a numărului de fişiere de arhivă care conţin malware, inclusiv fişiere LNK. Infractorii cibernetici plasează deseori fişiere Shortcut în ataşamente ZIP, evitând astfel filtrele de securitate care scanează e-mailul.
"Pe măsură ce macrocomenzile de pe web sunt blocate implicit în Office, urmărim îndeaproape metodele alternative de execuţie testate de infractorii cibernetici. Deschiderea unei comenzi rapide sau a unui fişier HTML poate părea inofensivă pentru un angajat, dar poate avea ca rezultat un risc major pentru companie", explică Alex Holland - Senior Malware Analyst în cadrul echipei HP Wolf Security. "Organizaţiile trebuie să ia acum măsuri pentru a se proteja împotriva tehnicilor folosite de hackeri sau vor rămâne expuse, pe măsură ce noul mod de operare devine omniprezent. Recomandăm, acolo unde este posibil, blocarea imediată a fişierelor de tip Shortcut primite ca ataşamente de e-mail sau descărcate de pe web."
Izolând ameninţările cibernetice care au evitat instrumentele de detectare, HP Wolf Security are o perspectivă aplicată asupra celor mai recente tehnici folosite de infractorii cibernetici. Pe lângă creşterea numărului de fişiere LNK, echipa de cercetare a mai descoperit:
Mai multe campanii de phishing care au folosit e-mailuri ce pretindeau a fi iniţiate de servicii poştale regionale sau de evenimente majore, precum Doha Expo 2023 (care va atrage peste 3 milioane de participanţi la nivel mondial), pentru a livra programe malware. Folosind această tehnică, fişiere periculoase care în mod mormal ar fi blocate de filtrele de securitate pot fi introduse clandestin în organizaţii.
Hackerii exploatează fereastra de vulnerabilitate creată de Follina (CVE-2022-30190 - vulnerabilitate Zero Day din Microsoft Support Diagnostic Tool (MSDT) pentru a distribui QakBot, Agent Tesla şi Remcos RAT (Remote Access Trojan) înainte ca o solutie de tip patch să fie disponibilă. Această vulnerabilitate este deosebit de periculoasă, deoarece permite infractorilor cibernetici să ruleze un cod arbitrar pentru a implementa programe malware şi necesită o interacţiune redusă din partea utilizatorului.
O campanie care distribuie o nouă familie de malware, numită SVCReady, care se remarcă prin modul neobişnuit în care este livrată pe PC-urile ţintă - printr-un shellcode (bucată de cod folosită ca sarcină utilă în exploatarea unei vulnerabilităţi software) ascuns în proprietăţile documentelor Office. Programul malware - conceput în special pentru a descărca malware secundar în computerele infectate - se află încă într-un stadiu incipient de dezvoltare, fiind actualizat de mai multe ori în ultimele luni.
Constatările se bazează pe datele provenite de la milioane de puncte terminale care utilizează HP Wolf Security. HP Wolf Security execută sarcini riscante - cum ar fi deschiderea de ataşamente de e-mail, descărcarea de fişiere şi deschiderea de link-uri în micro-maşini virtuale izolate, pentru a-i proteja pe utilizatori - şi înregistrează urme detaliate ale încercărilor de infectare. Tehnologia HP de izolare a aplicaţiilor atenuează ameninţările care pot evita alte instrumente de securitate şi oferă informaţii unice despre noile tehnici folosite şi despre comportamentul infractorilor cibernetici. Până în prezent, clienţii HP au accesat peste 18 miliarde de ataşamente de e-mail, pagini web şi fişiere descărcate, fără să fie raportate breşe.
Alte constatări ale raportului:
14% dintre programele malware înregistrate de HP Wolf Security au ocolit cel puţin un instrument de securitate.
Hackerii au folosit 593 de familii malware diferite, faţă de 545 în trimestrul precedent.
Foile de calcul au rămas principalul tip de fişier maliţios, dar echipa de cercetare a observat o creştere de 11% a ameninţărilor cu fişiere de tip arhivă - ceea ce sugerează că hackerii plasează tot mai des malware în fişiere de arhivă pentru a evita detectarea.
69% dintre programele malware detectate au fost livrate prin e-mail, în timp ce descărcările de pe internet au fost responsabile pentru 17%.
Cele mai frecvente momeli phishing au fost tranzacţiile de afaceri, cum ar fi "Order", "Payment", "Purchase", "Request" şi "Invoice".