Hakerzy już nie muszą tworzyć wirusów. Raport HP ujawnia ich nową, podstępną metodę
Najnowszy raport HP pokazuje, że cyberprzestępcy coraz skuteczniej ukrywają swoje działania pod przykrywką legalnych procesów. Zaufane aplikacje zdalnego dostępu, fałszywe narzędzia do odzyskiwania portfeli kryptowalutowych oraz pliki audio wykorzystywane jako nośniki malware’u stają się codziennością w świecie cyberataków. To ważna informacja dla polskich użytkowników, bo techniki te coraz częściej omijają tradycyjne systemy bezpieczeństwa i wyglądają jak rutynowe działania IT. W efekcie nawet ostrożni użytkownicy mogą nie zauważyć, że ich urządzenia zostały przejęte.
Jak legalne narzędzia zdalnego dostępu stają się furtką dla hakerów?
Cyberprzestępcy coraz częściej wykorzystują aplikacje zdalnego dostępu, które na co dzień służą zespołom IT do wsparcia użytkowników. Według raportu HP takie narzędzia są dystrybuowane poprzez phishingowe wiadomości związane z końcem roku podatkowego oraz fałszywe instalatory aplikacji desktopowych. W praktyce oznacza to, że użytkownik instaluje program, który wygląda jak standardowe oprogramowanie, a w rzeczywistości oddaje kontrolę nad komputerem w ręce hakera.
Po instalacji narzędzia takie jak LogMeIn czy ScreenConnect działają jak zwykłe aplikacje IT, co sprawia, że ich aktywność nie wzbudza podejrzeń. To właśnie ta niewidoczność jest największym problemem, bo cyberprzestępcy mogą działać w tle przez długi czas. Podobne techniki były wcześniej stosowane głównie w atakach na firmy, ale teraz coraz częściej dotyczą użytkowników indywidualnych, którzy nie mają zaawansowanych narzędzi monitorujących.
Fałszywe narzędzia kryptowalutowe jako nowy sposób kradzieży danych
Drugim trendem opisanym w raporcie są fałszywe aplikacje do odzyskiwania portfeli kryptowalutowych. Hakerzy wykorzystują desperację użytkowników, którzy utracili dostęp do swoich środków, oferując im narzędzia rzekomo pomagające odzyskać portfel. W rzeczywistości takie programy przechwytują loginy, dane systemowe i informacje o portfelach, a następnie wyprowadzają je z urządzenia.
Co ciekawe, wiele z tych skryptów jest pełnych emoji, co sugeruje wykorzystanie trendu vibe codingu wspieranego przez AI. To nowy sposób maskowania złośliwego kodu, który ma wyglądać jak twórczość amatora lub entuzjasty kryptowalut. Podobne kampanie były wcześniej obserwowane w społecznościach blockchain, ale teraz trafiają do znacznie szerszej grupy użytkowników.
Kampanie ClickFix ukrywają malware w plikach audio
Raport HP opisuje również kampanie ClickFix, w których złośliwe oprogramowanie jest ukrywane w plikach audio. Ofiary trafiają na fałszywe strony internetowe, które prezentują realistyczne komunikaty CAPTCHA. Po ich kliknięciu uruchamiane są ukryte komendy, które instalują malware w tle, bez wiedzy użytkownika.
Strony wykorzystywane w tych kampaniach są przygotowane tak, aby przypominały znane serwisy, co zwiększa ich wiarygodność. To kolejny przykład na to, jak cyberprzestępcy wykorzystują elementy znane z codziennego korzystania z internetu, aby uśpić czujność użytkowników. Podobne techniki były wcześniej stosowane w kampaniach z fałszywymi aktualizacjami przeglądarek, ale teraz są bardziej dopracowane.
Co raport HP mówi o skuteczności współczesnych zabezpieczeń?
Dane z raportu pokazują, że współczesne systemy bezpieczeństwa mają coraz większy problem z wykrywaniem ataków, które wyglądają jak legalna aktywność. HP Sure Click wykazał, że 11 procent zagrożeń e-mail ominęło co najmniej jeden skaner bramkowy. To sygnał, że cyberprzestępcy skutecznie wykorzystują zaufane procesy do ukrywania swoich działań.
Najczęściej wykorzystywanym typem plików były pliki wykonywalne, które odpowiadały za 39 procent ataków. Pliki archiwum stanowiły 38 procent, a dokumenty PDF 10 procent. Co ważne, udział zagrożeń opartych na PDF wzrósł o 2 procent, co pokazuje, że hakerzy stale poszukują nowych sposobów na ominięcie zabezpieczeń. Trendy te potwierdzają, że klasyczne narzędzia detekcji nie są już wystarczające.
Jak organizacje mogą reagować na nowe techniki cyberprzestępców?
Eksperci HP podkreślają, że organizacje powinny ograniczać uprawnienia użytkowników, aby zmniejszyć ryzyko instalacji nieautoryzowanego oprogramowania. Kontrola nad tym, jakie aplikacje mogą być instalowane, staje się kluczowa, ponieważ hakerzy coraz częściej wykorzystują legalne narzędzia jako element ataku.
Drugim ważnym elementem jest izolowanie ryzykownych działań, takich jak pobieranie plików czy otwieranie nieznanych linków. Rozwiązania takie jak HP Wolf Security pozwalają uruchamiać potencjalnie niebezpieczne pliki w odizolowanych kontenerach, co minimalizuje ryzyko naruszenia. Eksperci podkreślają, że sama detekcja nie wystarczy, gdy zaufane oprogramowanie staje się narzędziem cyberprzestępców.
Grafika tytułowa: Mina Rad / Unsplash
