Analýzou údajov z miliónov koncových zariadení chránených systémom HP Wolf Security dospeli výskumníci k nasledujúcim zisteniam:
- Rozšírenia Shampoo Chrome sa dá zbaviť len ťažko. Kampaň šíriaca malvér ChromeLoader podvádza používateľov, aby si nainštalovali škodlivé rozšírenie prehliadača Chrome s názvom Shampoo. Toto rozšírenie môže presmerovať vyhľadávacie požiadavky obete na škodlivé webové stránky alebo stránky, ktoré útočníkom zarábajú peniaze prostredníctvom reklamných kampaní. Tento škodlivý softvér je veľmi odolný a opakovane sa spúšťa každých 50 minút pomocou plánovača úloh.
- Útočníci obchádzajú zásady zabezpečenia makier používaním dôveryhodných domén. Spoločnosť HP zistila, že aj keď sú makrá z nedôveryhodných zdrojov teraz zakázané, útočníci toto bezpečnostné opatrenie obchádzajú kompromitovaním dôveryhodného konta Office 365, nastavením nového firemného e-mailu a distribúciou škodlivého súboru Excel, ktorý infikuje obeť nástrojom Formbook infostealer.
- Spoločnosti si musia dávať pozor na to, čo sa v nich skrýva. Dokumenty OneNote môžu fungovať ako digitálny album, takže k nim môžete pripojiť akýkoľvek súbor. Útočníci to využívajú na vkladanie škodlivých súborov, ktoré sa maskujú ako falošné ikony "kliknite sem". Kliknutím na falošnú ikonu sa otvorí skrytý súbor, spustí sa škodlivý softvér a útočníci získajú prístup do používateľovho počítača - ktorý potom môžu predať iným kyberzločineckým skupinám a ransomvérovým gangom.
Sofistikované skupiny ako Qakbot a IcedID prvýkrát vložili škodlivý softvér do súborov OneNote v januári. Keďže súpravy OneNote sú teraz k dispozícii na hackerských trhoch a ich použitie nevyžaduje veľké technické zručnosti, tieto malvérové kampane budú pokračovať aj v nasledujúcich mesiacoch.
"Na ochranu pred najnovšími hrozbami odporúčame používateľom a firmám, aby sa vyhýbali sťahovaniu materiálov z nedôveryhodných stránok, najmä pirátskych. Zamestnanci by si mali dávať pozor na podozrivé interné dokumenty a pred ich otvorením si ich overiť u odosielateľa. Podniky by mali nakonfigurovať zásady e-mailovej brány a bezpečnostné nástroje na blokovanie súborov OneNote z neznámych externých zdrojov," vysvetľuje Patrick Schläpfer, analytik malvéru v tíme výskumu hrozieb HP Wolf Security v spoločnosti HP Inc.
Zo správy tiež vyplýva, že s odklonom aktérov hrozieb od formátov súborov balíka Office skupiny kybernetického zločinu naďalej diverzifikujú svoje metódy útokov. Na obídenie e-mailovej brány používajú rôzne metódy, od zneužitia škodlivých archívnych súborov až po prepašovanie kódu HTML, známe ako pašovanie HTML. Medzi hlavné zistenia patria:
- Skúmanie hrozieb, ktorým spoločnosť HP Wolf Security zabránila v prvom štvrťroku, ukázalo, že archívy boli najpopulárnejším spôsobom doručenia škodlivého softvéru už štvrtý štvrťrok po sebe (42 %).
- V porovnaní so 4. štvrťrokom bol v 1. štvrťroku zaznamenaný 37-percentný nárast hrozieb zahŕňajúcich vpašovanie kódu HTML.
- Hrozby využívajúce súbory PDF zaznamenali v 1. štvrťroku v porovnaní so 4. štvrťrokom 4-percentný nárast.
- Škodlivý softvér v súboroch Excelu zaznamenal v 1. štvrťroku v porovnaní so 4. štvrťrokom pokles o 6 % (z 19 % na 13 %), pretože je čoraz ťažšie spúšťať makrá v tomto formáte.
- 14 % e-mailových hrozieb identifikovaných programom HP Sure Click obišlo v 1. štvrťroku 2023 jeden alebo viac skenerov e-mailových brán.
- Najčastejším vektorom hrozieb v 1. štvrťroku bol e-mail (80 %), po ktorom nasledovalo sťahovanie z prehliadača (13 %).
"Na ochranu pred čoraz rozmanitejším spektrom útokov musia podniky dodržiavať politiku nulovej dôveryhodnosti, izolovať a obmedziť rizikové činnosti, ako je otváranie e-mailových príloh, klikanie na odkazy alebo sťahovanie súborov prostredníctvom prehliadača. Tým sa výrazne zníži priestor pre útoky a riziko narušenia bezpečnosti," poznamenáva Dr. Ian Pratt, riaditeľ oddelenia bezpečnosti osobných systémov v spoločnosti HP Inc.
HP Wolf Security spúšťa vysoko rizikové úlohy, ako je otváranie e-mailových príloh, sťahovanie súborov a klikanie na odkazy, v izolovaných virtuálnych počítačoch (mikro-VM), aby chránil používateľov a podrobne mapoval pokusy o infikovanie počítača. Technológia izolácie aplikácií HP zmierňuje hrozby, ktoré by mohli zostať neodhalené inými bezpečnostnými nástrojmi, a poskytuje jedinečný pohľad na nové techniky útokov a správanie útočníkov.
Zdroj foto: HP
