Хакеры скрывают вирусные ПО таким образом, что людям и антивирусу их выявить все сложнее
Исходя из анализа настоящих хакерских атак и информации, полученной с огромного количества ПК, файлы RAR и ZIP киберпреступники начали использовать, чтобы транспортировать вредоносы.
Как показало исследование, в основе которого лежат сведения HP Wolf Security, за период июль-сентябрь 2022 г. в 42% атак хакеров были задействованы файлы, среди которых вышеуказанные.
Из этого следует, все чаще встречаются попытки спровоцировать граждан загрузить вредонос через данные типы файлов. При этом файлы Excel, как и Microsoft Word, несмотря на то, что они продолжительный период времени являлись наиболее распространенным вариантом заманивания пользователей, отошли на второй план.
Исследователи говорят, что впервые за более чем трехлетний период эти файлы в качестве инструмента для доставки вредоносов превзошли документы Microsoft Office.
Киберпреступникам намного эффективнее удается обходить ряд систем безопасности при помощи шифровки полезной нагрузки, которую они прячут в таких файлах.
А. Холланд, ст. аналитик вирусных ПО группы исследований HP Wolf Security, рассказал, что шифруются архивы без каких-либо проблем. Это помогает злоумышленникам прятать вирусные продукты и, соответственно, обходить почтовые сканеры, песочницы, а также web proxy. Обнаруживать кибератаки, таким образом, становится гораздо сложнее, особенно, если в комплексе идут методы HTML smuggling.
Зачастую киберпреступники создают электронные поддельные письма, не отличающиеся от настоящих, отправленных широко известными поставщиками интернет-услуг и брендов. Цель таких писем заключается в том, чтобы спровоцировать человека открыть вирусный файл и активировать его.
В самом письме применяются вирусные файлы формата HTML, которые выглядят как PDF. В случае их запуска они отображают фейковый онлайн-просмотрщик документов. При этом в действительности они занимаются дешифрованием ZIP-архива. При условии его загрузки на компьютере появляется вредонос.
Исходя из анализа, сделанного HP Wolf Security, среди разных кампаний, использующих указанные архивы и файлы, одной из наиболее известных выступает QakBot. Эти вредоносы не только воруют информацию, но и являются бэкдором для того, чтобы развернуть такие вырусные ПО, как вымогатели.
В сентябре QakBot опять дал о себе знать путем разосланного по почте электронного вирусного сообщения. В нем содержалось требование открыть документы. При запуске архива им задействовались команды непосредственно для загрузки, а также выполнения DLL. После этого он активировался с применением легальных инструментов. Которые есть в ОС Windows.
Затем, в ближайшее время после указанных действий, хакеры, которые занимаются распространением IcedID, стали использовать схему, почти полностью повторяющую схему QakBot.
IcedID – один из видов вирусных программ, позволяющих атаковать вымогателями. При этом кибератаки полностью управляемы оператором.
Для того, чтобы обмануть максимальное количество людей, в обоих случаях делалось все для того, чтобы письма, как и фейковые страницы HTML, имели абсолютно законный вид.
Холланд отметил, что в обеих кампаниях интересными были приложенные для формирования фейковых страниц усилия. И в том, и в другом случае все выглядело намного правдоподобнее и убедительнее. В связи с этим понять обычному человеку, какие именно файлы являются подлинными, а какие поддельными, было гораздо сложнее.
Согласно информации, HP Wolf Security злоупотребляли RAR-файлами и ZIP-файлами и вымогатели группы Magniber. В данном случае целью кампании были обычные пользователи домашних ПК. Применялись зашифрованные сведения, после чего выдвигалось требование заплатить.
Здесь все начинается просто. Сайт, который находится под контролем киберпреступников, предлагает скачать архив ZIP с наличием в нем JavaScript. Этот файл выдают за мощную антивирусную программу или же обновление программного обеспечения Windows 10. В случае запуска этого файла загружается вирус-вымогатель и устанавливается на устройство.
Ранее распространение вымогателей группы происходило при помощи файлов EXE и MSI. Но, как и все остальные хакерские группировки, они поняли, что получить более высокий успех позволит сокрытие в файлах архива полезной нагрузки.
Кибератаки злоумышленники меняют с завидной регулярностью. При этом одним из главных способов транспортировки вирусных ПО выступает фишинг. Зачастую нелегко понять насколько легальны письма, поступающие на электронную почту, и файлы. В особенности это касается тех случаев, когда полезная вирусная нагрузка слишком хорошо спрятана и обнаружить ее не в состоянии даже антивирус.
В связи с этим специалисты рекомендуют быть очень осторожными, когда выдвигается требование незамедлительно перейти по ссылке и скачать содержимое. Тем более, когда источник вызывает сомнения.