Veľký počet kyberzločincov šíriacich malvér z rodín QakBot, IceID, Emotet a RedLine Stealer prechádza pri rozširovaní malvéru na súbory zástupcov (LNK). Namiesto makier Office, ktoré začínajú byť v predvolenom nastavení v Office blokované, používajú útočníci na preniknutie do podnikových sietí zástupcov, prostredníctvom ktorých používateľov oklamú a infikujú ich počítače malvérom. Takto získaný prístup môže byť zneužitý na krádež cenných firemných dát alebo predaný skupinám využívajúcim ransomvér.
Najnovšia správa Threat Insights Report HP Wolf Security (dáta anonymne zhromaždené vo virtuálnych počítačoch zákazníkov v období od apríla do júna 2022) odhalila 11 % nárast archívnych súborov obsahujúcich malvér vrátane infikovaných súborov LNK. Útočníci často vkladajú súbory zástupcu do príloh správ ako ZIP súbory, aby sa vyhli mailovým skenerom. Zistilo sa tiež, že na hekerských fórach je možné zakúpiť programy na tvorbu malvéru vo forme súborov LNK, čo kyberzločincom uľahčuje prechod na túto techniku spúšťania kódu bez využitia makier, vytváraním škodlivých súborov zástupcov a ich šírením vo firmách. Vďaka izolácii hrozieb, ktoré dokázali na počítačoch obísť detekčné nástroje, má HP Wolf Security detailný prehľad o najnovších technikách používaných kybernetickými zločincami:
- Počet prípadov vpašovania škodlivého kódu prostredníctvom HTML súborov dosahuje kritické množstvo – HP zaznamenalo niekoľko phishingových kampaní využívajúcich emaily predstierajúce, že ich odosielateľom je poštová služba alebo organizátor významnej akcie, napr. výstavy Expo 2023 v Dohe (na ktorej sa zúčastnia vyše 3 milióny návštevníkov z celého sveta), pričom sa na doručenie malvéru využilo vpašovanie škodlivého kódu do HTML súborov. Pomocou tejto techniky je možné do podnikov prepašovať nebezpečné typy súborov, ktoré by inak mailové brány zablokovali, a spôsobiť tak infekciu malvérom.
- Útočníci sa chopili príležitosti, ktorú im poskytla zraniteľnosť nultého dňa Follina (CVE-2022-30190) – Po zverejnení informácií o zraniteľnosti nultého dňa v nástroji MSDT (Microsoft Support Diagnostic Tool), známej tiež pod označením Follina, zneužilo túto zraniteľnosť ešte pred vydaním bezpečnostnej záplaty niekoľko útočníkov na distribúciu malvéru QakBot, Agent Tesla a Remcos RAT (Remote Access Trojan). Táto zraniteľnosť je obzvlášť nebezpečná, pretože umožňuje útočníkom spustiť ľubovoľný kód a infikovať napadnutý systém malvérom, pričom na napadnutie cieľových počítačov stačí len minimálna interakcia zo strany používateľa.
- Malvér SVCReady používa na svoje spustenie novú techniku a šíri sa pomocou kódu pre príkazový riadok ukrytého v dokumentoch – HP odhalilo kampaň, prostredníctvom ktorej sa šíri nový typ malvéru SVCReady vyznačujúci sa neobvyklým spôsobom napadnutia cieľových počítačov – prostredníctvom kódu pre príkazový riadok ukrytom vo vlastnostiach dokumentov Office. Tento malvér, ktorého úlohou je predovšetkým stiahnuť do napadnutých počítačov po zhromaždení systémových informácií a vytvorení snímok obrazovky ďalšie škodlivé súbory, zatiaľ ešte zostáva v ranej fáze vývoja, ale v ostatných mesiacoch bol už niekoľkokrát aktualizovaný.
Ďalšie kľúčové zistenia uvedené v správe:
- Štrnásť percent malvéru, zachyteného nástrojom HP Wolf Security, obišlo aspoň jeden skenovací program emailovej brány.
- Pri pokusoch o infikovanie podnikových systémov použili útočníci 593 rôznych rodín malvéru, zatiaľčo v predchádzajúcom štvrťroku toto číslo predstavovalo 545.
- Najčastejšie infikovanými súbormi boli tabuľky, ale tím pre výskum hrozieb zaznamenal tiež 11 % nárast výskytu infikovaných komprimovaných súborov, čo ukazuje, že útočníci stále častejšie umiestňujú infikované súbory pred ich odoslaním do archívov, aby sa týmto spôsobom vyhli detekcii.
- Šesťdesiatdeväť percent zisteného škodlivého softvéru bolo doručených mailom, 17 % pripadá na sťahovanie z webu.
- Najčastejšie phishingové návnady sa objavovali v podobe obchodných transakcií, napr. „Objednávka“, „Platba“, „Nákup“, „Žiadosť“ a „Faktúra“.