HP Wolf Security varuje před malwarovými útoky prostřednictvím Excelu

ilustrace HP Wolf Security

Společnost HP Inc. publikovala svou nejnovější globální zprávu HP Wolf Security Threat Insights Report, přinášející analýzu kybernetických útoků a zranitelností zjištěných v reálném prostředí. Díky izolaci hrozeb, které dokázaly obejít detekční nástroje a pronikly až na koncová zařízení uživatelů, má HP Wolf Security detailní přehled o nejnovějších technikách, používaných kybernetickými zločinci.

Tým pro výzkum hrozeb HP Wolf Security odhalil vlnu útoků zneužívajících k šíření malwaru doplňky aplikace Excel. Tyto soubory umožňují útočníkům ovládnout cílová zařízení a vystavují firmy i jednotlivce nebezpečí krádeže dat a ničivých ransomwarových útoků. Ve srovnání s minulým čtvrtletím došlo k obrovskému, téměř šestinásobnému nárůstu (+588 %) počtu útoků, využívajících k napadení systému infikované soubory doplňku aplikace Microsoft Excel (.xll) – tato technika se ukázala jako obzvláště nebezpečná, protože ke spuštění malwaru stačí jediné kliknutí. Tým také na nelegálních tržištích na darknetu nalezl reklamy na droppery .xll a sady pro tvorbu malwaru, které umožňují i nezkušeným útočníkům snadno zahájit útočnou kampaň. 

Nedávná spamová kampaň QakBot navíc používala k oklamání adresátů soubory aplikace Excel, přičemž útok probíhal následovně: útočníci prostřednictvím napadených e-mailových účtů vstupovali do probíhající konverzace a v odpovědi zasílali v příloze infikovaný soubor pro aplikaci Excel (.xlsb). QakBot se po proniknutí do systému maskuje jako legitimní proces systému Windows, aby se tím vyhnul odhalení.

Napadené excelové soubory (.xls) byly použity také k šíření bankovního trojského koně Ursnif mezi italskými firmami a organizacemi veřejného sektoru prostřednictvím škodlivé spamové kampaně, přičemž útočníci se vydávali za italskou kurýrní službu BRT. Nové kampaně šířící malware Emotet nyní používají místo souborů JavaScript nebo Word také soubory ve formátu Excel.

Mezi další významné hrozby, které tým HP Wolf Security odhalil, patří:

  • Návrat TA505? Společnost HP odhalila e-mailovou phishingovou kampaň MirrorBlast, která využívá mnoho taktik, technik a postupů (TTP), jimiž je známá skupina TA505, zaměřující se na finančně motivované útoky. Ta nechvalně proslula masivními spamovými kampaněmi, šířícími malware, s cílem vydírat provozovatele infikovaných systémů prostřednictvím ransomwaru. Útočníci k napadení svých obětí využívali trojského koně pro vzdálený přístup (RAT) FlawedGrace.
  • Falešná herní platforma infikuje oběti pomocí nástroje RedLine: Byla objevena podvržená webová stránka s instalačními soubory Discord, která se návštěvníky snaží přimět k tomu, aby si stáhli infostealer RedLine, a vzápětí zcizí jejich přihlašovací údaje.
  • Využívání neobvyklých typů souborů k obcházení detekce: Zločinecká skupina Aggah se zaměřila na korejské firmy, které se snažila napadnout prostřednictvím škodlivých doplňků pro aplikaci PowerPoint (.ppa), které byly maskovány jako objednávky a infikovaly systémy trojskými koni pro vzdálený přístup. Malware cílící na PowerPoint se vyskytuje vzácně, tvoří pouhé 1 % veškerého malwaru.

Zneužívání legitimních funkcí softwaru ke skrytí před detekčními nástroji je běžnou taktikou útočníků, stejně jako používání neobvyklých typů souborů, které mohou bez povšimnutí projít přes e-mailové brány. Bezpečnostní týmy nesmějí spoléhat pouze na detekci, musejí sledovat nejnovější hrozby a odpovídajícím způsobem aktualizovat obranné mechanismy. Na základě nárůstu výskytu škodlivých souborů .xll bych například správcům sítě doporučil nakonfigurovat e-mailové brány tak, aby blokovaly příchozí přílohy .xll, propouštěly pouze doplňky podepsané důvěryhodnými partnery nebo zcela zakázaly doplňky aplikace Excel,“ vysvětluje Alex Holland, samostatný malwarový analytik výzkumného týmu kybernetických hrozeb divize HP Wolf Security společnosti HP Inc.

Útočníci neustále inovují své metody a hledají nové techniky, jak se vyhnout detekci, proto je nezbytné, aby podniky plánovaly a upravovaly své obranné mechanismy na základě vývoje kybernetických hrozeb a obchodních potřeb svých uživatelů. Původci kybernetických hrozeb investovali do technik, jako je například proniknutí do e-mailové konverzace, takže je pro uživatele nyní mnohem obtížnější rozeznat přítele od nepřítele.“

Tato zjištění vycházejí z údajů z mnoha milionů koncových zařízení vybavených systémem HP Wolf Security. Ten pátrá po existenci malwaru spouštěním rizikových úloh v izolovaných virtuálních počítačích (micro-VM), aby pochopil a zachytil celý řetězec infekce a přispěl ke zmírnění hrozeb, které unikly pozornosti ostatních bezpečnostních nástrojů. Díky tomu mohli zákazníci kliknout na více než 10 miliard e-mailových příloh, webových stránek a souborů ke stažení, aniž by došlo k narušení bezpečnosti. Vlivem lepšího pochopení chování malwaru v reálném prostředí mohou výzkumníci a inženýři divize HP Wolf Security posílit ochranu koncových zařízení a celkovou odolnost systému.

Další klíčová zjištění zprávy:

  • 13 % izolovaného e-mailového malwaru obešlo alespoň jeden skenovací program e-mailové brány.
  • Ve snaze o infikování firemních počítačů bylo použito 136 různých přípon souborů.
  • 77 % zjištěného škodlivého softwaru bylo doručeno e-mailem, 13 % připadá na stahování z webu.
  • Nejčastějšími přílohami, používanými k doručení malwaru, byly dokumenty (29 %), archivy (28 %), spustitelné soubory (21 %) a tabulky (20 %).
  • Nejčastější phishingové návnady se objevovaly v souvislosti s Novým rokem nebo s obchodními transakcemi, např. „Objednávka“, „2021/2022“, „Platba“, „Nákup“, „Žádost“ a „Faktura“.

V současné době mohou původci nízkoúrovňových hrozeb provádět skryté útoky a prodávat přístup organizovaným skupinám vytvářejícím ransomware, což vede k případům rozsáhlého narušení bezpečnosti, které může ochromit IT systémy a zastavit veškerý provoz,“ dodává dr. Ian Pratt, globální ředitel pro oblast zabezpečení osobních systémů společnosti HP Inc.

Zdroj a foto: HP

Podívejte se i na další zajímavé články na webu IT Revue v rubrikách Hardware, Software, Elektronika nebo Ostatní. IT Revue můžete sledovat i na Facebooku nebo Instagramu.