Эти типы файлов ZIP и RAR стали часто использоваться для маскировки вредоносных программ
Согласно анализу реальных кибератак и данных, собранных c миллионов компьютеров, файлы форматов ZIP и RAR стали использоваться хакерами для доставки вредоносных программ.
Исследование, основанное на данных HP Wolf Security, показало, что в период с июля по сентябрь этого года в 42% кибератак использовались форматы архивных файлов, включая ZIP и RAR.
Это значит, что попытки заставить пользователей загрузить вредоносное ПО при помощи файлов ZIP и RAR стали встречаться чаще, чем при помощи документов Microsoft Office, таких как файлы Microsoft Word и Excel, которые долгое время оставались самым популярным средством заманивания жертв.
По словам исследователей, в первый раз за более чем три года архивные файлы превзошли файлы Microsoft Office как наиболее распространенное средство доставки вредоносных программ.
Шифруя полезную нагрузку и скрывая ее в архивных файлах, злоумышленникам удается более эффективно обходить многие средства защиты.
«Архивы легко шифруются, что помогает киберпреступникам скрывать вредоносные программы и обходить веб-прокси, песочницы или сканеры электронной почты. Это затрудняет обнаружение атак, особенно в сочетании с методами контрабанды HTML (HTML smuggling)», — объясняет Алекс Холланд (Alex Holland), старший аналитик вредоносных программ исследовательской группы HP Wolf Security.
Во многих случаях злоумышленники создают фишинговые электронные письма, которые выглядят как письма от известных брендов и поставщиков онлайн-услуг и имеют целью заставить пользователя открыть и запустить вредоносный ZIP- или RAR-файл.
При этом в письме используются замаскированные под PDF вредоносные HTML-файлы, которые при запуске показывают поддельный онлайн-просмотрщик документов, но на самом деле расшифровывают ZIP-архив. Если он загружается, то заражает компьютер вредоносным ПО.
Согласно анализу HP Wolf Security, одной из самых печально известных кампаний, применяющих ZIP-архивы и HTML-файлы, является QakBot — семейство вредоносных программ, которые используются не только для кражи данных, но и в качестве бэкдора для развертывания программ-вымогателей.
QakBot снова объявился в сентябре с вредоносными сообщениями, разосланными по электронной почте и требующими открыть он-лайн документы. Если архив был запущен, он использовал команды для загрузки и выполнения полезной нагрузки в виде динамически подключаемой библиотеки (DLL), а затем запускался с использованием законных инструментов в Windows.
Вскоре после этого киберпреступники, распространяющие IcedID — разновидность вредоносного ПО, которое обеспечивает возможность выполнения управляемых человеком атак программ-вымогателей, — начали использовать модель, почти идентичную описанной выше модели QakBot.
В обоих кампаниях были приложены усилия, чтобы электронные письма и поддельные HTML-страницы выглядели законно, чтобы обмануть как можно больше жертв.
«Что было интересно в кампаниях QakBot и IcedID, так это усилия, приложенные для создания поддельных страниц — эти кампании были более убедительными, чем те, что мы видели раньше, из-за этого людям было трудно понять, каким файлам они могут доверять, а каким нет», — говорит Холланд.
По данным HP Wolf Security группа программ-вымогателей Magniber также была замечена в злоупотреблении файлами ZIP и RAR. Кампания была нацелена на домашних пользователей и использовала шифрование данных с последующим требование выкупа.
В этом случае заражение начинается с того, что подконтрольный злоумышленникам сайт предлагает пользователю загрузить ZIP-архив, содержащий файл JavaScript, предположительно являющийся важным антивирусом или обновлением ПО Windows 10. Если такой файл запущен, он загружает и устанавливает программу-вымогатель.
До этой последней кампании программы–вымогатели Magniber распространялись через MSI и EXE-файлы, но, как и другие группы киберпреступников, они заметили, что более значительного успеха можно добиться, скрывая полезную нагрузку в архивных файлах.
Киберпреступники постоянно меняют свои атаки, и фишинг остается одним из ключевых методов доставки вредоносных программ, потому что часто бывает трудно определить, являются ли электронные письма или файлы законными – особенно, если вредоносная полезная нагрузка спрятана так, что антивирусное программное обеспечение не может ее обнаружить.
Пользователям настоятельно рекомендуется проявлять осторожность в отношении требований срочно открыть ссылку или загрузить вложение, особенно если это требование неожиданно или исходит от неизвестных источников.
Источник: zdnet.com
Опубликовано 03.12.2022