Üç yıldır ilk kez, Microsoft Office dosyaları artık kötü amaçlı yazılım dağıtımı için en yaygın dosya türü değil. Bu, HP Wolf Security’nin en son Tehdit Öngörüleri Raporuna göre (yeni sekmede açılır) Q3 2022 için.
Siber güvenlik çözümünü çalıştıran “milyonlarca uç noktadan” gelen verileri analiz eden HP, arşiv dosyalarının (örneğin, .ZIP ve .RAR dosyaları) kötü amaçlı yazılımları dağıtmanın en yaygın yolu olmak üzere Office dosyalarını geride bıraktığı sonucuna vardı.
Aslında, 2022’nin üçüncü çeyreğinde teslim edilen tüm kötü amaçlı yazılımların %44’ü, ikinci çeyreğe göre %11 artışla bu biçimi kullandı. Office dosyaları ise tüm kötü amaçlı yazılım dağıtımlarının %32’sini oluşturuyor.
Korumaları atlamak
HP ayrıca, Arşiv dosyalarının genellikle, siber suçluların e-posta güvenlik çözümleri tarafından algılanmaktan kaçınmak için kötü amaçlı arşiv dosyalarını HTML dosyalarına yerleştirdiği bir HTML kaçakçılığı tekniğiyle birleştirildiğini de keşfetti.
HP Wolf Security tehdit araştırma ekibi Kıdemli Kötü Amaçlı Yazılım Analisti Alex Holland, “Arşivlerin şifrelenmesi kolaydır, bu da tehdit aktörlerinin kötü amaçlı yazılımları gizlemesine ve web proxy’lerinden, korumalı alanlardan veya e-posta tarayıcılarından kurtulmasına yardımcı olur” dedi.
“Bu, özellikle HTML kaçakçılığı teknikleriyle birleştirildiğinde saldırıların tespit edilmesini zorlaştırıyor.”
Holland, son QakBot ve IceID kampanyalarını örnek olarak kullandı. Bu kampanyalarda, kurbanları sahte çevrimiçi belge görüntüleyicilere yönlendirmek için HTML dosyaları kullanıldı ve kurbanlar bir .ZIP dosyasını açmaya ve şifreyle kilidini açmaya teşvik edildi. Bunu yapmak, uç noktalarına kötü amaçlı yazılım bulaştırır.
“QakBot ve IceID kampanyalarında ilginç olan şey, sahte sayfalar oluşturmak için harcanan çabaydı – bu kampanyalar daha önce gördüğümüzden daha inandırıcıydı ve insanların hangi dosyalara güvenip güvenemeyeceklerini bilmelerini zorlaştırıyordu. ” diye ekledi Hollanda.
HP ayrıca siber suçluların taktiklerini modüler bir bulaşma zinciriyle “karmaşık kampanyalar” geliştirmek için geliştirdiklerini söyledi.
Bu, duruma bağlı olarak kampanya ortasında teslim edilen kötü amaçlı yazılım türünü değiştirmelerine olanak tanır. Dolandırıcılar, tümü aynı bulaşma taktiklerini kullanarak casus yazılımlar, fidye yazılımları veya bilgi hırsızları gönderebilir.
Araştırmacılar, bu saldırılara karşı korunmanın en iyi yolunun, güvenliğe Sıfır Güven yaklaşımını benimsemek olduğunu söylüyor.
“İnce taneli yalıtıma ilişkin Sıfır Güven ilkesini izleyerek kuruluşlar, mikro sanallaştırmayı kullanarak bağlantılara tıklama veya kötü amaçlı ekleri açma gibi potansiyel olarak kötü amaçlı görevlerin, temel sistemlerden ayrılmış tek kullanımlık bir sanal makinede yürütülmesini sağlayabilir” diye açıklıyor. Dr Ian Pratt, HP Kişisel Sistemler Küresel Güvenlik Başkanı.
“Bu süreç, kullanıcı tarafından tamamen görülemez ve içine gizlenmiş tüm kötü amaçlı yazılımları yakalayarak saldırganların hassas verilere erişimini engeller ve erişim elde etmelerini ve yanal olarak hareket etmelerini engeller.”