Tím HP Wolf Security odhalil vlnu útokov zneužívajúcich na šírenie malvéru doplnky programu Excel. Tieto súbory umožňujú útočníkom ovládnuť cieľové zariadenia a vystavujú firmy aj jednotlivcov nebezpečenstvu krádeže dát a ničivých ransomvérových útokov. V porovnaní s minulým štvrťrokom došlo k obrovskému, takmer šesťnásobnému nárastu (+ 588 %) počtu útokov využívajúcich na napadnutie systému infikované súbory doplnku programu Microsoft Excel (.xll). Táto technika sa ukázala ako obzvlášť nebezpečná, pretože na spustenie malvéru stačí jediné kliknutie. Tím tiež našiel reklamy na droppery .xll a sady na tvorbu malvéru na nelegálnych trhoviskách na darknete, ktoré umožňujú ľahko začať útočnú kampaň aj neskúseným útočníkom.
Nedávna spamová kampaň QakBot navyše používala na oklamanie adresátov súbory programu Excel, pričom útok prebiehal nasledovne: útočníci prostredníctvom napadnutých mailových účtov vstupovali do prebiehajúcej konverzácie a v odpovedi zasielali v prílohe infikovaný súbor pre aplikáciu Excel (.xlsb). QakBot sa po preniknutí do systému maskuje ako legitímny proces systému Windows, aby sa tým vyhol odhaleniu. Napadnuté excelové súbory (.xls) boli použité aj na šírenie bankového trójskeho koňa Ursnif medzi talianskymi firmami a organizáciami verejného sektora prostredníctvom škodlivej spamovej kampane, pričom útočníci sa vydávali za taliansku kuriérnu službu BRT. Nové kampane šíriace malware Emotet teraz používajú namiesto súborov JavaScript alebo Word aj súbory vo formáte Excel.
Ďalšie odhalené hrozby:
● Návrat TA505: Spoločnosť HP odhalila emailovú phishingovú kampaň MirrorBlast, ktorá využíva mnoho taktík, techník a postupov (TTP), ktorými je známa skupina TA505 zameriavajúca sa na finančne motivované útoky. Tá sa neslávne preslávila masívnymi spamovými kampaňami šíriacimi malvér s cieľom vydierať prevádzkovateľov infikovaných systémov prostredníctvom ransomvéru. Útočníci na napadnutie svojich obetí využívali trójskeho koňa na vzdialený prístup (RAT) FlawedGrace.
● Falošná herná platforma infikuje obete pomocou nástroja RedLine: Bola objavená podvrhnutá webová stránka s inštalačnými súbormi Discord, ktorá sa návštevníkov snaží prinútiť k tomu, aby si stiahli infostealer RedLine a vzápätí odcudzí ich prihlasovacie údaje.
● Využívanie neobvyklých typov súborov na obchádzanie detekcie: Zločinecká skupina Aggah sa zamerala na kórejské firmy, ktoré sa snažila napadnúť prostredníctvom škodlivých doplnkov pre aplikáciu PowerPoint (.ppa), ktoré boli maskované ako objednávky a infikovali systémy trójskymi koňmi pre vzdialený prístup. Malvér zacielený na PowerPoint sa vyskytuje zriedkavo, tvorí iba 1 % všetkého malvéru.
„Na základe nárastu výskytu škodlivých súborov .xll by som správcom siete odporučil nakonfigurovať emailové brány tak, aby blokovali prichádzajúce prílohy .xll, prepúšťali iba doplnky podpísané dôveryhodnými partnermi, alebo úplne zakázali doplnky programu Excel“, vysvetľuje analytik Alex Holland.
Ďalšie kľúčové zistenia:
● 13 % izolovaného e-mailového malwaru obišlo aspoň jeden skenovací program emailovej brány.
● V snahe o infikovanie firemných počítačov bolo použitých 136 rôznych prípon súborov.
● 77 % zisteného škodlivého softvéru bolo doručených mailom, 13 % pripadá na sťahovanie z webu.
● Najčastejšími prílohami používanými na doručenie malvéru boli dokumenty (29 %), archívy (28 %), spustiteľné súbory (21 %) a tabuľky (20 %).
● Najčastejšie phishingové návnady sa objavovali v súvislosti s Novým rokom alebo s obchodnými transakciami, napr. „Objednávka“, „2021/2022“, „Platba“, „Nákup“, „Žiadosť“ a „Faktúra“.