Według najnowszego raportu HP Wolf Security cyberprzestępcy ukrywają złośliwe oprogramowanie w dokumentach OneNote, a zaufane domeny są wykorzystywane do omijania kontroli makr pakietu Office.
Warszawa, 20 lipca 2023 roku – Opublikowany przez firmę HP raport HP Wolf Security Threat Insights Report pokazuje, że cyberprzestępcy przejmują przeglądarki internetowe Chrome użytkowników, w momencie gdy próbują pobierać popularne filmy i gry wideo z pirackich stron.
Dzięki izolowaniu zagrożeń, które wymknęły się narzędziom do ich wykrywania, HP Wolf Security ma szczegółowyi wgląd w najnowsze techniki stosowane przez cyberprzestępców. Do tej pory użytkownicy HP Wolf Security kliknęli w ponad 30 miliardów załączników do wiadomości, stron internetowych i pobranych plików bez zgłoszenia żadnych naruszeń.
Na podstawie danych z milionów tzw. „punktów końcowych”, które obejmuje program HP Wolf Securityii, okazało się, że:
- Rozszerzenie Chrome Shampoo jest trudne do usunięcia: złośliwe oprogramowanie ChromeLoader nakłania użytkowników do zainstalowania złośliwego rozszerzenia Chrome o nazwie Shampoo. Może ono przekierować zapytania osoby, która padła ofiarą cyberataku, na złośliwe witryny lub strony, dzięki którym grupa przestępcza zarabia pieniądze na kampaniach reklamowych. Złośliwe oprogramowanie jest bardzo trudne do usunięcia, ponieważ wykorzystuje Task Reschedule (harmonogram zadań) do ponownego uruchamiania i odnawiania się co 50 minut.
- Hakerzy omijają zasady dotyczące makr, korzystając z zaufanych domen: Podczas gdy makra z niezaufanych źródeł są wyłączone, HP było świadkiem sytuacji, w których hakerzy omijają kontrole, naruszając zaufane konto Office 365, konfigurując nowy email firmowy i rozpowszechniając złośliwy plik Excel, który infekuje ofiary ataku poprzez Formbook infostealer.
- Firmy muszą uważać: Dokumenty OneNote mogą działać jak cyfrowe albumy, tzn. można dołączać do nich dowolny plik. Hakerzy wykorzystują to do osadzania złośliwych plików za fałszywymi odnośnikami „kliknij tutaj”. Akcja wywołuje otwarcie ukrytego pliku, który uruchamia złośliwe oprogramowanie, dając przestępcom dostęp do komputera użytkownika – dostęp ten można następnie sprzedać innym grupom cyberprzestępczym i gangom ransomware.
Grupy przestępcze, takie jak Qakbot i IcedID, po raz pierwszy osadziły złośliwe oprogramowanie w plikach OneNote w styczniu. Ze względu na fakt, że zestawy OneNote są obecnie dostępne na rynkach cyberprzestępczych i wymagają niewielkich umiejętności technicznych, działania tego typu będą z pewnością kontynuowane w kolejnych miesiącach.
Aby chronić się przed najnowszymi zagrożeniami, zalecamy użytkownikom i firmom unikanie pobierania materiałów z niezaufanych witryn. Pracownicy powinni uważać na podejrzane dokumenty wewnętrzne i sprawdzać nadawcę przed ich otwarciem. Organizacje powinny również skonfigurować pocztę email i dostosować zasady funkcjonowania narzędzi bezpieczeństwa, tak by blokować pliki OneNote z nieznanych źródeł wewnętrznych – wyjaśnia Patrick Schläpfer, analityk ds. złośliwego oprogramowania w zespole badań nad zagrożeniami HP Wolf Security w HP Inc.
Od złośliwych plików archiwalnych po przemyt HTML, raport pokazuje również, że grupy przestępcze nadal dywersyfikują metody ataków w celu ominięcia filtrów skrzynek mailowych, ponieważ cyberprzestępcy odchodzą od formatów Office.
Kluczowe wnioski:
- Archiwa były najpopularniejszym typem plików, poprzez które cyberprzestępcy dostarczyli złośliwe oprogramowanie (42%) już czwarty kwartał z rzędu.
- W Q1 odnotowano 37-procentowy wzrost zagrożeń związanych z przemytem HTML w porównaniu do Q4.
- Odnotowano 4-punktowy wzrost liczby zagrożeń PDF w Q1 w porównaniu do Q4.
- Odnotowano 6-punktowy spadek złośliwego oprogramowania w Excelu (z 19% do 13%) w Q1 w porównaniu do Q4, ponieważ format stał się bardziej skomplikowany pod kątem uruchamiania makr.
- 14% zagrożeń dotyczących e-maili zidentyfikowanych przez HP Sure Click przeszło co najmniej jeden skaner poczty email w Q1 w 2023 roku.
- Głównym źródłem zagrożeń w Q1 była poczta elektroniczna (80%) a następnie pobieranie plików z przeglądarki (13%).
W celu ochrony przed coraz bardziej zróżnicowanymi atakami organizacje muszą przyjąć zasadę minimalnego zaufania, by izolować i ograniczać ryzykowne działania, takie jak otwieranie załączników do wiadomości email, klikanie linków lub pobieranie plików z przeglądarki. To znacznie zmniejsza przestrzeń do ataków i naruszeń – wyjaśnia Dr. Ian Pratt, Global Head of Security for Personal Systems, HP Inc.
By chronić użytkowników HP Wolf Security podejmuje działania, takie jak otwieranie załączników do wiadomości email, pobieranie plików i klikanie linków w odizolowanych mikro-wirtualnych maszynach (micro-VM). Rozwiązanie przechwytuje również szczegółowe ślady prób infekcji. Technologia izolacji aplikacji HP zmniejsza ryzyko zagrożeń, które mogą przedostać się przez inne narzędzia zabezpieczające i zapewnia unikalny wgląd w nowe techniki włamań oraz zachowań cyberprzestępców.
Informacja na temat danych:
Dane do raportu zostały zebrane anonimowo na wirtualnych maszynach klientów HP Wolf Security w okresie styczeń – marzec 2023 roku.
—
O firmie HP
HP Inc. to globalny lider, firma tworząca rozwiązania pozwalające ludziom łączyć się i urzeczywistniać to co najważniejsze. Działając w ponad 170 krajach, HP dostarcza szeroką gamę innowacyjnych i zrównoważonych urządzeń, usług i subskrypcji w sferze komputerów osobistych, drukarek, druku 3D, pracy hybrydowej i gamingu. Więcej informacji na www.hp.pl
O HP Wolf Security
HP Wolf Security nowa generacja zabezpieczeń punktów końcowych. Oferta HP w zakresie zabezpieczeń sprzętowych i usług bezpieczeństwa dla punktów końcowych ma na celu pomóc organizacjom w ochronie komputerów, drukarek i ludzi przed krążącymi w sieci cyberprzestępcami. HP Wolf Security zapewnia kompleksową ochronę i odporność punktów końcowych, która rozpoczyna się na poziomie sprzętowym oraz obejmuje oprogramowanie i usługi.
