Nebezpečné viry nejčastěji chodí e-mailem a vydávají se za dokumenty

Bezpečnostní zpráva HP Wolf Security upozorňuje na nejnovější techniky a phishingové nástrahy, které cílí na běžné uživatele, zaměstnance a ohrožují firmy.

Společnost HP Inc. vydala čtvrtletní zprávu Threat Insights Report, podle níž velký počet kyberzločinců šířících malware z rodin QakBot, IceID, Emotet a RedLine Stealer přechází při rozšiřování malwaru na soubory zástupce (LNK). Namísto maker Office, která začínají být ve výchozím nastavení v Office blokována, používají útočníci k proniknutí do podnikových sítí zástupce, jejichž prostřednictvím uživatele oklamou a infikují jejich počítače malwarem. Takto získaný přístup může být zneužit ke krádeži cenných firemních dat nebo může být prodán skupinám využívajícím ransomware, což může vést k rozsáhlým narušením bezpečnosti, která mohou zastavit provoz podniku a vyžádat si značné náklady na nápravu.

Útoky prostřednictvím LNK na vzestupu

Nejnovější globální zpráva Threat Insights Report HP Wolf Security, jež poskytuje analýzu reálných kybernetických útoků, vykazuje 11% nárůst archivních souborů obsahujících malware včetně infikovaných souborů LNK. Útočníci často vkládají soubory zástupce do příloh zpráv jako ZIP soubory, aby se vyhnuli e-mailovým skenerům. Tým také zjistil, že na hackerských fórech lze zakoupit programy na tvorbu malwaru v podobě souborů LNK, což kyberzločincům usnadňuje přechod na tuto techniku spouštění kódu bez využití maker vytvářením škodlivých souborů zástupců a jejich šířením ve firmách.

Obrázek: Nebezpečné viry nejčastěji chodí e-mailem a vydávají se za dokumenty

Nástroje MS Office jsou stále oblíbeným cílem především ve firemním prostředí. Foto: Unsplash

Vzhledem k faktu, že makra stažená z webu jsou v Office ve výchozím nastavení blokována, sledujeme pozorně alternativní metody spouštění škodlivých kódů, testovaných kyberzločinci. Otevření souboru zástupce nebo HTML může zaměstnanci připadat neškodné, ale pro podnik může znamenat velké riziko,“ vysvětluje Alex Holland, vedoucí analytik malwaru z týmu pro výzkum hrozeb HP Wolf Security společnosti HP Inc. „Podniky musejí na ochranu proti těmto technikám, které útočníci stále častěji užívají, přijmout adekvátní opatření, jinak se v případě jejich rozšíření vystaví obrovskému riziku. Pokud je to možné, doporučujeme okamžitě zablokovat soubory zástupce přijaté jako přílohy e-mailů nebo stažené z webu.“

Díky izolaci hrozeb, které dokázaly na počítačích obejít detekční nástroje, má HP Wolf Security detailní přehled o nejnovějších technikách používaných kybernetickými zločinci. Kromě nárůstu počtu souborů LNK upozornil tým pro výzkum hrozeb v tomto čtvrtletí na následující poznatky:

  • Počet případů vpašování škodlivého kódu prostřednictvím HTML souborů dosahuje kritického množství – Společnost HP zaznamenala několik phishingových kampaní využívajících e-maily, předstírající, že jejich odesílatelem je poštovní služba v dané zemi nebo – jak společnost HP předpověděla – organizátor významné akce, např. výstavy Expo 2023 v Doha (jíž se zúčastní více než 3 miliony návštěvníků z celého světa), které k doručení malwaru využily vpašování škodlivého kódu do HTML souborů. Pomocí této techniky lze do podniků propašovat nebezpečné typy souborů, jež by jinak e-mailové brány zablokovaly, a způsobit touto cestou infekci malwarem. 
  • Útočníci se chopili příležitosti, již jim poskytla zranitelnost nultého dne Follina (CVE-2022-30190) – Po zveřejnění informací o zranitelnosti nultého dne v nástroji MSDT (Microsoft Support Diagnostic Tool), známé také pod označením „Follina“, zneužilo tuto zranitelnost ještě před vydáním bezpečnostní záplaty několik útočníků k distribuci malwaru QakBot, Agent Tesla a Remcos RAT (Remote Access Trojan). Tato zranitelnost je obzvláště nebezpečná, protože umožňuje útočníkům spustit libovolný kód a infikovat napadený systém malwarem, přičemž k napadení cílových počítačů stačí jen minimální interakce ze strany uživatele.
  • Malware SVCReady používá ke svému spuštění novou techniku a šíří se pomocí kódu pro příkazový řádek ukrytého v dokumentech – Společnost HP odhalila kampaň, jejímž prostřednictvím se šíří nový typ malwaru s názvem SVCReady, vyznačující se neobvyklým způsobem napadení cílových počítačů – prostřednictvím kódu pro příkazový řádek ukrytého ve vlastnostech dokumentů Office. Tento malware, jehož úkolem je především stáhnout do napadených počítačů po shromáždění systémových informací a pořízení snímků obrazovky další škodlivé soubory, zatím ještě zůstává v rané fázi vývoje a v posledních měsících byl několikrát aktualizován.

Tato zjištění vycházejí z údajů z milionů koncových zařízení vybavených nástrojem HP Wolf Security. HP Wolf Security spouští rizikové úlohy, jako je otevírání e-mailových příloh, stahování souborů a klikání na odkazy, v izolovaných mikrovirtuálních počítačích (micro-VM), aby chránil uživatele a podrobně analyzoval pokusy o infikování počítače. Technologie izolace aplikací společnosti HP zmírňuje hrozby, jež mohou zůstat nezachyceny jinými bezpečnostními nástroji, a poskytuje jedinečné informace o nových technikách napadení a chování útočníků. Do této chvíle klikli zákazníci HP na více než 18 miliard e-mailových příloh, webových stránek a souborů ke stažení, aniž by nastalo narušení bezpečnosti.

E-maily jako největší riziko

Jak ukazují další klíčová zjištění uvedená ve zprávě, útočníci pro distribuci škodlivého kódu stále využívají především e-mailu a souborů v příloze.

  • 14 % e-mailového malwaru, zachyceného nástrojem HP Wolf Security, obešlo alespoň jeden skenovací program e-mailové brány.
  • Při pokusech o infikování podnikových systémů použili útočníci 593 různých rodin malwaru, zatímco v předchozím čtvrtletí toto číslo činilo 545.
  • Nejčastěji infikovanými soubory byly tabulky, ale tým pro výzkum hrozeb zaznamenal také 11% nárůst výskytu infikovaných komprimovaných souborů, což ukazuje, že útočníci stále častěji umísťují infikované soubory před jejich odesláním do archivů, aby se tímto způsobem vyhnuli detekci.
  • 69 % zjištěného škodlivého softwaru bylo doručeno e-mailem, 17 % připadá na stahování z webu.
  • Nejčastější phishingové návnady se objevovaly v podobě obchodních transakcí, např. „Objednávka“, „Platba“, „Nákup“, „Žádost“ a „Faktura“.
Obrázek: Nebezpečné viry nejčastěji chodí e-mailem a vydávají se za dokumenty

Vypadá jako e-mail s přílohou, ale ve skutečnosti jde o promyšlený způsob, jak nalákat oběť. Foto: Freepik

Útočníci zkoušejí nové formáty škodlivých souborů nebo zneužití zranitelností, aby se vyhnuli detekci, podniky se proto musí připravit na neočekávané. To znamená, že k zabezpečení koncových zařízení je nutno přistupovat na úrovni architektury celého systému – například tak, že nejčastější vektory útoku, jako jsou e-maily, prohlížeče a stahované soubory, jsou izolovány bez ohledu na to, zda je lze odhalit či nikoli,“ vysvětluje dr. Ian Pratt, globální ředitel zabezpečení osobních systémů společnosti HP Inc. „Tím se eliminuje cesta útoku pro celé třídy hrozeb, a organizace zároveň získá čas potřebný k bezpečné koordinaci instalace bezpečnostních záplat, aniž by to narušilo její chod.“

Zdroj: TZ HP Inc.

1 Komentář
nejstarší
nejnovější nejlépe hodnocené
Inline Feedbacks
View all comments
Smrdíš

Běž se zabít ???

Obrázek: Je libo více monitorů vedle sebe? Philips E1 jsou cenově dostupné monitory s tenkými rámečky
Je libo více monitorů vedle sebe? Philips E1 jsou cenově dostupné monitory s tenkými rámečky
Obrázek: Noční fotografie s vivo X100 Pro: Jak fotit v noci se smartphonem jako profík?
Noční fotografie s vivo X100 Pro: Jak fotit v noci se smartphonem jako profík?
Obrázek: Nesmyslný boj proti elektromobilům: Čeští vandalové ničí nabíječky
Nesmyslný boj proti elektromobilům: Čeští vandalové ničí nabíječky
Obrázek: První člověk popsal, jak se žije s čipem Neuralink v mozku. Ovládání počítače je jako telekineze
První člověk popsal, jak se žije s čipem Neuralink v mozku. Ovládání počítače je jako telekineze
Obrázek: Noční fotografie s vivo X100 Pro: Jak fotit v noci se smartphonem jako profík?
Noční fotografie s vivo X100 Pro: Jak fotit v noci se smartphonem jako profík?
Obrázek: Recenze robotického vysavače TESLA RoboStar iQ700 s laserovou navigací: Čistá domácnost bez námahy?
85%
Recenze robotického vysavače TESLA RoboStar iQ700 s laserovou navigací: Čistá domácnost bez námahy?
Obrázek: Zažijte budoucnost už dnes: Nainstalujte si umělou inteligenci Gemini do telefonu s Androidem
Zažijte budoucnost už dnes: Nainstalujte si umělou inteligenci Gemini do telefonu s Androidem
Obrázek: Kde koupit Bitcoin v ČR? Návod na bezpečný nákup kryptoměn v roce 2024
Kde koupit Bitcoin v ČR? Návod na bezpečný nákup kryptoměn v roce 2024