Кампания Microsoft против вредоносных макросов породила новые опасные атаки
11 августа 2022 г.Поскольку макросы Office больше не являются лучшим способом доставки вредоносных полезных данных на конечные точки< /a> по всему миру киберпреступники обращаются к новым стратегиям, в том числе к использованию файлов ярлыков (.lnk).
Выводы HP Wolf Security, основанные на данных с миллионов конечных точек, показали, что количество архивных файлов, содержащих вредоносное ПО, включая файлы .lnk, увеличилось на 11 % по сравнению с предыдущим кварталом. Иногда злоумышленники помещали эти ярлыки в ZIP-файлы перед отправкой по почте, чтобы их не обнаружили никакие антивирусные решения или меры защиты электронной почты.
Есть два ключевых элемента для ярлыков файлов, которые делают их идеальным оружием для распространение вредоносных программ: их можно заставить запускать практически любой файл, и они могут иметь любой значок, предустановленный в Windows. При этом злоумышленники могут присвоить ему значок файла .pdf и запустить файл .exe, .log или .dll, который может загрузить практически любой вирус. В некоторых случаях хакеры даже использовали законные приложения Windows, такие как старый добрый калькулятор, в своих гнусных целях.
Распространение RedLine Stealer
Большую часть времени, говорится в отчете, злоумышленники используют файлы ярлыков для распространения QakBot, IceID, Emotet и RedLine Stealer. Они также злоупотребляют уязвимостью нулевого дня Follina (CVE-2022-30190), добавили исследователи.
«Поскольку макросы, загруженные из Интернета, по умолчанию блокируются в Office, мы внимательно следим за альтернативные методы исполнения, проверяемые киберпреступниками. Открытие ярлыка или HTML-файла может показаться безвредным для сотрудника, но может привести к серьезному риску для предприятия», — объясняет Алекс Холланд, старший аналитик вредоносных программ, группа исследования угроз HP Wolf Security, HP Inc.
«Организации должны принять меры сейчас, чтобы защититься от методов, которые все чаще используются злоумышленниками, или оставаться незащищенными, когда они становятся все более распространенными. Мы рекомендуем немедленно блокировать файлы ярлыков, полученные в виде вложений электронной почты или загруженные из Интернета, если это возможно».
Помимо файлов .lnk, Холланд также упоминает файлы HTML. Компания выявила пару фишинговых кампаний, в которых злоумышленники выдавали себя за региональные почтовые службы и использовали HTML-файлы для доставки вредоносного ПО. Эти файлы хорошо скрывают вредоносные типы, которые в противном случае были бы обнаружены почтовыми шлюзами и службами защиты от вредоносных программ.
- Вот наш краткий обзор лучших служб защиты от программ-вымогателей на данный момент.
Оригинал