HP Wolf Security Report upozorňuje na rastúcu nebezpečnosť malvérových balíčkov

Spoločnosť HP Inc. zverejnila svoju štvrťročnú správu HP Wolf Security Threat Insights, ktorá uvádza, že dostupnosť stále dokonalejších a komplexnejších nástrojov, vďaka ktorým môžu kybernetickí zločinci obchádzať detekciu a infikovať zariadenia, neustále rastie.

Správa je založená na údajoch z miliónov koncových zariadení s nainštalovaným HP Wolf Security. Obsahuje informácie o niektorých známych typoch útokov, aktuálne napríklad:

Houdini’s Last Act: nová kampaň zameraná na firemné systémy používala falošné prepravné dokumenty, ktoré skrývali JavaScript malvér Vjw0rm. Jeho zamaskovaný kód umožnil malvéru prejsť cez centrálne zabezpečenie e-mailov a dostať sa ku cieľovým počítačom. Houdini je 10 rokov starý VBScript RAT, ktorý využíval aj aktuálne analyzovaný útok. To ukazuje, že s vhodnými nástrojmi z online tržníc a obchodov pre kyberzločincov môžu hackeri stále účinne využívať aj starší malware tak, že zneužívajú skriptovacie funkcie integrované v dnešných operačných systémoch.

Útoky typu „Jekyll a Hyde“: HP odhalilo kampaň Parallax RAT, ktorá spustí dve vlákna, pokiaľ používateľ otvorí nakazenú faktúru. Vlákno „Jekyll“ otvorí falošnú faktúru kopírovanú z legitímnej online šablóny a znižuje tak podozrenie, zatiaľ čo „Hyde“ spustí malware na pozadí. Tento útok je ľahko uskutočniteľný, pretože predpripravené sady Parallax boli na hackerských fórach ponúkané len za 65 dolárov mesačne.

Tip redakcie: Mobily, PC, Hry a kancelária za super ceny od overeného obchodníka

„Utočníci si dnes si môžu jednoducho zakúpiť hotové, používateľsky prívetivé sady malvéru, ktoré systémy infikujú jedným kliknutím,“ konštatuje Alex Holland, vedúci analytik malvéru v tíme pre výskum hrozieb HP Wolf Security. „Namiesto vytvárania vlastných nástrojov môžu získať sady využívajúce taktiky vychádzajúce z už existujúcich prostriedkov. Tieto nenápadné útoky je ťažšie detegovať vďaka výnimkám bezpečnostných mechanizmov pre práva administrátorov, napríklad kvôli automatizácii.“

HP tiež odhalilo, ako sa útočníci snažia nachytať menej skúsených kybernetických zločincov. Na platformy pre zdieľanie kódu, ako je napríklad GitHub, umiestňujú falošné sady na vytváranie malvéru. Tieto repozitáre môžu mať za následok infikovanie počítačov tých, ktorí sami chceli byť aktérmi útokov. Napríklad populárna sada malvéru XWorm sa na nelegálnych trhoch ponúka za ceny až 500 dolárov, čo kyberzločincov s obmedzenými prostriedkami núti kupovať falošné cracknuté verzie.

Používatelia HP Wolf Security doteraz otvorili viac ako 30 miliárd e-mailových príloh, webových stránok a súborov bez narušenia bezpečnosti. Vďaka izolácii hrozieb, ktoré obchádzajú bežné detekčné nástroje na PC, ale stále umožňujú bezpečné spustenie malvéru, má HP Wolf Security konkrétny prehľad o najnovších technikách používaných v tomto rýchlo sa meniacom prostredí.

Správa tiež rozkrýva, ako kyberzločinci pokračujú v diverzifikácii svojich útočných metód, aby obišli bezpečnostné pravidlá a detekčné nástroje. Tu sú niektoré zistenia:

• Archívy, teda napríklad ZIP a RAR súbory, boli už 6. štvrťrok za sebou najpopulárnejším spôsobom šírenia malvéru. Išlo o až 36 % analyzovaných prípadov
• Hoci sú makrá v doplnkoch Excel súborov (.xlam) štandardne deaktivované, v Q3 boli 7. najpopulárnejším typom súborov zneužívaných útočníkmi (posun zo 46. miesta v Q2). V Q3 sa objavovali dokonca aj malvérové kampane zneužívajúce doplnky v PowerPointe
• Minimálne 12 % útokov šírených prostredníctvom e-mailových správ identifikovaných HP Sure Click v Q3 a Q2 obišlo jeden alebo viac skenerov na e-mailových bránach
• V Q3 narástol aj počet útokov využívajúcich zraniteľnosť v Exceli (91 %) a Worde (68 %)
• Pri PDF súboroch a hrozbách izolovaných HP Wolf Security došlo k nárastu o 5 % v porovnaní s Q2
• Najčastejším zdrojom hrozieb boli v treťom štvrťroku e-maily (80 %) a sťahovanie z prehliadačov (11 %).

„Nástroje na vytváranie nenápadných útokov sú ľahko dostupné a aktéri hrozieb sa stále spoliehajú na to, že na ne používateľ klikne,“ pokračuje Alex Holland. „Pre neutralizáciu útokov prostredníctvom predpripravených malvérových sád by mali firmy izolovať činnosti s vysokými rizikami ako je otváranie emailových príloh, klikanie na odkazy a sťahovanie. Tým sa výrazne zníži potenciál útoku, pretože sa obmedzí napadnuteľná plocha.“

HP Wolf Security spúšťa rizikové úlohy ako je otváranie e-mailových príloh, sťahovanie súborov a klikanie na odkazy, v izolovaných virtuálnych PC (micro-VM), aby touto cestou chránil používateľov a podrobne zmapoval pokusy o infikovanie počítača. Technológia izolácie aplikácií spoločnosti HP zmierňuje hrozby, ktoré by mohli zostať nezachytené inými bezpečnostnými nástrojmi a poskytuje jedinečné informácie o nových technikách napadnutia a správania útočníkov.