HP Wolf предупреждает о всплеске вредоносного ПО, скрытого в файлах ZIP и RAR

Архивные файлы в настоящее время являются наиболее распространенным типом файлов, используемых для доставки вредоносных программ, впервые затмив файлы Microsoft Office, согласно отчету HP Wolf Security Quarterly Threat Insights Report за 3 квартал 2022 года.

В третьем квартале 2022 года 44% вредоносных программ были доставлены через архивные файлы, что на 11% больше, чем в предыдущем квартале, и намного больше, чем 32%, доставленных через файлы Office.

Это изменение связано с тем, что Microsoft начала отключать макросы Office по умолчанию (см. Хакеры находят альтернативы макросам Microsoft Office).

Контрабанда HTML

В отчете отмечается, что кампании QakBot и IceID обманывают жертв с помощью вредоносных HTML-файлов, маскирующихся под PDF-документы. Когда жертвы открывают файлы, они перенаправляются на фальшивые онлайн-просмотрщики документов, маскирующиеся под веб-страницы Adobe или Google Drive, которые предлагают жертвам открыть зашифрованный ZIP-файл, предположительно содержащий документ.

Когда жертва вводит пароль, предоставленный ей на веб-странице, ZIP-файл затем развертывает вредоносное ПО на ПК жертвы.

«Архивы легко шифруются, что помогает злоумышленникам скрывать вредоносное ПО и обходить веб-прокси, песочницы или сканеры электронной почты», — заявил в своем заявлении старший аналитик HP Wolf Security по вредоносным программам Алекс Холланд. «Это затрудняет обнаружение атак, особенно в сочетании с методами контрабанды HTML».

Это еще большая проблема, когда социальная инженерия хорошо продумана. «Что было интересно в кампаниях QakBot и IceID, так это усилия, затраченные на создание поддельных страниц — эти кампании были более убедительными, чем-то, что мы видели раньше, из-за чего людям было трудно понять, каким файлам они могут доверять, а какие нет. «, — сказал Холланд.

«Мы ожидаем, что контрабанда вариаций дизайна HTML и злоупотребление брендом ускорится, поскольку злоумышленники экспериментируют, чтобы найти наиболее эффективные приманки», — предупреждает отчет.

Ознакомьтесь с лучшими решениями EDR

Модульная цепочка заражения

В отдельной кампании, наблюдаемой в середине сентября, используется модульная цепочка заражения, которая позволяет злоумышленникам изменять вредоносную полезную нагрузку и внедрять новые функции.

Атака начинается с электронного письма, содержащего вложение Microsoft Word, но когда документ открывается, он запрашивает разрешение на загрузку встроенной электронной таблицы Excel. Если жертва дает разрешение, электронная таблица затем запускает вредоносные файлы, размещенные на веб-сайтах обмена файлами.

Поскольку вредоносное ПО не включается непосредственно во вложение, отправляемое жертве, средствам безопасности также сложнее его обнаружить.

«Злоумышленники разместили различные компоненты вредоносной кампании на удаленных веб-серверах и использовали различные методы для запуска вредоносного ПО», — говорится в отчете. «Этот модульный подход приносит пользу злоумышленникам, поскольку он позволяет легко заменять полезные нагрузки и изменять поток выполнения в середине кампании».

«Как показано, злоумышленники постоянно меняют методы, что очень затрудняет обнаружение средств обнаружения», — заявил Ян Пратт, глобальный руководитель отдела безопасности персональных систем в HP.