Cyberbezpieczeństwo: raport HP przybliża najnowsze zagrożenia

Eksperci przestrzegają przed cyberatakami, które wykorzystują legalnych dostawców chmury do przesyłania złośliwego oprogramowania, czy też zmieniają typy plików i skryptów.

Zespół ds. badania zagrożeń firmy HP, Wolf Security, opublikował najnowszy raport na temat cyberbezpieczeństwa. Wykorzystując metodę izolowania zagrożeń, które ominęły narzędzia wykrywające i trafiły do ​​punktów końcowych użytkowników, autorzy raportu pomagają bliżej przyjrzeć się najnowszym technikom wykorzystywanym przez cyberprzestępców. Eksperci znaleźli m.in. dowody na to, że cyberprzestępcy wykorzystują nowopowstałe luki związane z dniem zerowym, a konkretniej exploitem umożliwiającym zdalne zhakowanie kodu przeglądarki dokumentów MSHTML w programie Microsoft Office. Zagrożenie zostało po raz pierwszy wychwycone przez HP 8 września br., na tydzień przed wprowadzeniem patcha 14 września.

Do 10 września br. zespół HP odkrył skrypty zaprojektowane, aby zautomatyzować tworzenie tego exploita (zostały udostępnione w serwisie GitHub). O ile nie zostanie w porę zneutralizowany, exploit umożliwia hakerom zaatakowanie punktów końcowych przy bardzo niewielkiej interakcji użytkownika. Wykorzystuje zainfekowany plik archiwum, który wdraża złośliwe oprogramowanie za pośrednictwem dokumentu pakietu Office. Użytkownicy nie muszą nawet otwierać pliku, wystarczy wyświetlić go w okienku podglądu Eksploratora plików, aby zainicjować atak. Gdy urządzenie zostanie zhakowane, atakujący mogą zainstalować złośliwe oprogramowanie typu Backdoor i użyć je później lub sprzedać grupom przestępczym, wykorzystującym do swoich ataków oprogramowania ransomware.

Inne zagrożenia, o których czytamy w raporcie, to m.in: 

Coraz więcej cyberprzestępców korzysta z legalnych dostawców usług chmurowych i internetowych do przesyłania szkodliwego oprogramowania 

W niedawnej kampanii GuLoader przestępcy przesyłali trojana zdalnego dostępu Remcos (RAT) na platformy, takie jak OneDrive, aby uniknąć systemów wykrywania włamań i przejścia testów białej listy. HP Wolf Security odkrył również, że wiele rodzin złośliwego oprogramowania jest hostowanych na platformach społecznościowych do gier, takich jak Discord. 

 Złośliwe oprogramowanie JavaScript wymykające się narzędziom do wykrywania zagrożeń 

Hakerzy rozprzestrzeniają RAT JavaScript za pośrednictwem złośliwych załączników do wiadomości e-mail. Programy do pobierania JavaScript mają niższy współczynnik wykrywania niż programy do pobierania pakietu Office lub pliki binarne. RAT są coraz powszechniejsze, ponieważ atakujący dążą do kradzieży danych uwierzytelniających do kont firmowych lub portfeli kryptograficznych. 

Podszywanie się pod Ugandyjski Narodowy Fundusz Ubezpieczeń Społecznych 

Atakujący wykorzystali „typosquatting” – stosując sfałszowany adres internetowy podobny do oficjalnej nazwy domeny – aby zwabić ofiary na stronę, która pobiera złośliwy dokument Word. Wykorzystuje makra do uruchamiania skryptu PowerShell, który blokuje rejestrowanie zabezpieczeń i omija funkcję Windows Antimalware Scan Interface. 

Przełączanie na pliki HTA rozprzestrzenia szkodliwe oprogramowanie jednym kliknięciem 

Trojan Trickbot jest teraz dostarczany za pośrednictwem plików HTA (aplikacji HTML), wdrażając szkodliwe oprogramowanie zaraz po otwarciu załącznika lub pliku achive, który je zawiera. Złośliwe pliki HTA, ze względu na swój rzadki charakter, są mniej narażone na wykrycie przez narzędzia do identyfikowania zagrożeń. 

Cały raport (w języku angielskim) znajdziesz pod tym linkiem.