Файлы ZIP и RAR обогнали документы Office в рейтинге файлов, наиболее часто используемых киберпреступниками для распространения вредоносного ПО, согласно анализу реальных кибератак и данных, собранных с миллионов ПК.
Исследование, основанное на данных клиентов HP Wolf Security, показало, что в период с июля по сентябрь этого года в 42% попыток доставки вредоносных программ использовались форматы архивных файлов, включая ZIP и RAR.
Это означает, что кибератаки с использованием форматов ZIP и RAR встречаются чаще, чем атаки с использованием документов Microsoft Office, таких как Microsoft Word и Microsoft Excel, которые долгое время были предпочтительным методом обмана жертв в целях распространения вредоносного ПО.
По данным исследователей, впервые за последние три года архивные файлы превзошли файлы Microsoft Office в качестве наиболее распространенного способа доставки вредоносного ПО.
Шифрование вредоносной полезной нагрузки и ее сокрытие в архивных файлах дает злоумышленникам возможность обойти многие средства защиты.
«Архивы легко шифровать, что помогает атакующим скрывать вредоносные программы и обходить веб-прокси, песочницы или сканеры электронной почты. Это затрудняет обнаружение атак, особенно в сочетании с методами контрабанды HTML» - сообщает Алекс Холланд, старший аналитик по вредоносным программам в группе исследования угроз HP Wolf Security.
Во многих случаях злоумышленники создают фишинговые письма, которые выглядят как письма от известных брендов и онлайн-сервисов, и пытаются обманом заставить пользователя открыть и запустить вредоносный ZIP- или RAR-файл.
Это включает использование в письмах вредоносных HTML-файлов, маскирующихся под PDF-документы, которые при запуске показывают поддельную программу просмотра документов, декодирующую ZIP-архив. Если пользователь скачает его, он заразит свою машину вредоносным ПО.
Согласно анализу HP Wolf Security, одной из самых известных кампаний, использующих ZIP-архивы и вредоносные HTML-файлы, является Qakbot - семейство вредоносных программ, которые используются не только для кражи данных, но и в качестве бэкдора для развертывания шифровальщиков.
Qakbot вновь появился в сентябре: вредоносные сообщения рассылались по электронной почте, утверждая, что они связаны с онлайн-документами, которые необходимо открыть. Если архив запускался, он использовал вредоносные команды для загрузки и выполнения полезной нагрузки в виде библиотеки динамических ссылок, которая затем запускалась с помощью легитимных - но часто применяемых в кибератаках – Windows-инструментов.
Вскоре после этого киберпреступники, распространяющие IcedID – штамм шифровальщика, которое устанавливается для осуществления шифрования вручную - начали использовать шаблон, почти идентичный тому, который использовался Qakbot при злоупотреблении архивными файлами, чтобы обманом заставить жертву загрузить вредоносное ПО.
В этих кампанях электронные письма и фальшивые HTML-страницы выглядели легально, чтобы обмануть как можно больше жертв.
«Что интересно в кампаниях QakBot и IcedID, так это усилия, приложенные к созданию поддельных страниц - эти кампании были более убедительны, чем те, что мы наблюдали раньше, что затрудняет людям понимание каким файлам можно доверять, а каким нет» - заявляет Холланд.
Группировка разработчиков шифровальщиков также была замечена в использовании файлов ZIP и RAR подобным образом. По данным HP Wolf Security, кампания шифровальщика Magniber, нацелена на частных пользователей. Атаки шифруют файлы и требуют от жертвы 2500 долларов.
В этом случае заражение начинается с загрузки с контролируемого злоумышленниками веб-сайта, который просит пользователей загрузить ZIP-архив, содержащий файл JavaScript, выдаваемый за важное обновление антивируса или программного обеспечения Windows 10. Если файл запускается и выполняется, он загружает и запускает программу-вымогатель.
До этой последней кампании Magniber распространялась через файлы MSI и EXE, но, как и другие киберпреступные группы, они заметили, какого успеха можно добиться, распространяя вредоносы, скрытые в архивных файлах.
Киберпреступники постоянно меняют свои тактики, и фишинг остается одним из ключевых методов доставки вредоносного ПО, поскольку зачастую трудно определить, является ли письмо или файлы легитимными - особенно если они спрятали вредоносную нагрузку там, где антивирусное ПО не сможет ее обнаружить.
Пользователей призывают с осторожностью относиться к настоятельным просьбам открыть ссылки и загрузить вложения, особенно из неожиданных или неизвестных источников.
Источник: https://www.zdnet.com