Это типы файлов, которые, скорее всего, скрывают вредоносные программы.
3 декабря 2022 г.Впервые за три года файлы Microsoft Office больше не являются наиболее распространенным типом файлов для распространения вредоносных программ. Это согласно последнему Отчет Threat Insights за третий квартал 2022 г.
Проанализировав данные с «миллионов конечных точек», на которых запущено ее решение для кибербезопасности, компания HP пришла к выводу, что архивные файлы (например, файлы .ZIP и .RAR) превосходят файлы Office файлов, чтобы стать наиболее распространенным способом распространения вредоносных программ.
Фактически, 44% всех вредоносных программ, доставленных в третьем квартале 2022 года, использовали этот формат, что на 11% больше, чем во втором квартале. С другой стороны, файлы Office составляют 32 % всех вредоносных программ.
Обход средств защиты
Компания HP также обнаружила, что архивные файлы обычно используются в сочетании с методом контрабанды HTML, при котором киберпреступники встраивают вредоносные архивные файлы в HTML-файлы, чтобы их не обнаружили решения для обеспечения безопасности электронной почты.
«Архивы — это просто. для шифрования, помогая злоумышленникам скрывать вредоносное ПО и обходить веб-прокси, песочницы или сканеры электронной почты», — сказал Алекс Холланд, старший аналитик вредоносных программ группы исследования угроз HP Wolf Security.
«Это затрудняет обнаружение атак, особенно в сочетании с методами контрабанды HTML».
Холланд использовал в качестве примера недавние кампании QakBot и IceID. В этих кампаниях файлы HTML использовались для направления жертв к фальшивым средствам просмотра документов в Интернете, при этом жертвам предлагалось открыть файл .ZIP и разблокировать его с помощью пароля. Это приведет к заражению их конечных точек вредоносным ПО.
"Что интересного в QakBot и IceID были усилия, затраченные на создание фальшивых страниц — эти кампании были более убедительными, чем то, что мы видели раньше, из-за чего людям было трудно понять, каким файлам они могут и не могут доверять», — добавил Холланд.
HP также заявила, что киберпреступники разработали свою тактику для разработки «сложных кампаний» с модульной цепочкой заражения.
Это позволяет им переключать тип вредоносного ПО, поставляемого в середине кампании, в зависимости от ситуации. Злоумышленники могут доставлять шпионское ПО, программы-вымогатели или программы для кражи информации, используя одну и ту же тактику заражения.
Исследователи говорят, что лучший способ защититься от этих атак — внедрить Нулевой уровень доверия к безопасности.
«Следуя принципу «нулевого доверия» тонкой изоляции, организации могут использовать микровиртуализацию, чтобы убедиться, что потенциально вредоносные задачи, такие как переход по ссылкам или открытие вредоносных вложений, выполняются на одноразовой виртуальной машине, отделенной друг от друга. от базовых систем», — объясняет д-р Ян Пратт, руководитель глобального отдела безопасности персональных систем в HP.
«Этот процесс полностью невидим для пользователя и перехватывает любое скрытое внутри вредоносное ПО, не позволяя злоумышленникам получить доступ к конфиденциальным данным и не позволяя им получить доступ и перемещаться в горизонтальном направлении».
- Ознакомьтесь с нашим списком лучших антивирусных программ прямо сейчас
Оригинал