Zespół HP Wolf Security wykrył dzielenie się złośliwym kodem poprzez GitHub
Zespół cyberbezpieczeństwa HP znalazł dowody na wykorzystywanie nowopowstałych luk day-one pozwalających na zdalne hakowanie kodu przeglądarki dokumentów MSHTMLS w Microsoft Office. Co ważne, zagrożenie zostało odkryte przez HP już 8 września, czyli na tydzień przed wprowadzeniem stosownego patcha 14 września. Za to do 10 września HP Wolf Security odkrył skrypty zaprojektowane do zautomatyzowanego wykorzystania luki. Exploit pozwalający na arak punktów końcowych przy bardzo małej interakcji użytkownika został udostępniony w serwisie GitHub.
Jego działanie polega na wykorzystaniu spreparowanego pliku archiwum, który wdraża złośliwy kod za pośrednictwem dokumentu obsługiwanego przez pakiet Microsoft Office. Co bardzo istotne i mocno zwiększające niebezpieczeństwo, nie trzeba nawet otwierać pliku, wystarczy wyświetlić jego pogląd w systemowym eksploratorze plików Windowsa. Później cyberprzestępcy mogą np. zainstalować backdory i wykraść wrażliwe dane użytkowników.
Nawet w legalnych usługach chmurowych mogą czaić się wirusy, ich filtry nie są idealnie szczelne
Eksperci z laboratorium HP Wolf Security zwrócili też uwagę na kilka innych kwestii. Coraz więcej nieuczciwych ludzi korzysta z legalnych usług chmurowych lub stron do przesyłania szkodliwego oprogramowania. Trojany mogą być rozsyłane np. przez OneDrive czy nawet kojarzoną z gamingiem platformę do komunikacji Discord. Oczywiście tradycyjnie nie raz wykorzystuje się też adresy tylko podobne do oficjalnych. Jeszcze większą popularnością cieszą się ataki z wykorzystaniem RAT JavaScript i złączników do e-maili. Wiąże się to chociażby z ich niższym współczynnikiem wykrywania.
Niepokojące wydaje się też przerzucanie większego znaczenia na infekcje plikami HTA. Jak czytamy w oficjalnej informacji HP – „Trojan Trickbot jest teraz dostarczany za pośrednictwem plików HTA (aplikacji HTML), wdrażając szkodliwe oprogramowanie zaraz po otwarciu załącznika lub pliku achive, który je zawiera. Złośliwe pliki HTA, ze względu na swój rzadki charakter, są mniej narażone na wykrycie przez narzędzia do identyfikowania zagrożeń.„
Wiadomości e-mail i pliki archiwów oraz pakietów biurowych najczęstszymi metodami ataków
Jednymi z kluczowych wniosków z raportu jest fakt, że 12 proc. wyizolowanego złośliwego oprogramowania z maili ominęło co najmniej jeden skaner. Taka metoda (e-mail) była wykorzystywana w 89 proc., na dalszym miejscu było pobieranie z sieci (11 proc.), a inne źródła ataku (np. rozprzestrzeniane pendrivami) to mniej niż 1 proc. Najczęściej złośliwymi plikami były archiwa (38 proc., to więcej niż w zeszłym kwartale – 17,26 proc.), dalej dokumenty pakietu biurowego (23 proc. Worda i 17 proc. arkusze kalkulacyjne) i tradycyjne pliki wykonywalne (16 proc.).
Pięć z najczęstszych scenariuszy phishingowych dotyczyło podszywania się pod kwestie biznesowe lub opłaty (zamówienia, płatności, wyceny, zapytania ofertowe, nowe oferty). Co więcej, 12 proc. przechwyconego złośliwego oprogramowania było wcześniej zupełnie nieznane.
Rozwiązanie HP Wolf Security pozwala chronić sprzęt i dostarcza wiedzy badaczom cyberbezpieczeństwa
Badacze mieli do dyspozycji dane z milionów punktów końcowych, które operują z wykorzystaniem programu HP Wolf Security. Ten „śledzi złośliwe oprogramowanie, otwierając ryzykowne zadania w odizolowanych, mikrowirtualnych maszynach (micro Virtual Machines – micro VMs), aby zrozumieć i przechwycić pełny łańcuch infekcji, pomagając w łagodzeniu zagrożeń, które prześlizgnęły się przez inne narzędzia zabezpieczające. Dzięki temu klienci mogą bezpiecznie otwierać ponad 10 miliardów załączników do wiadomości e-mail, stron internetowych i plików do pobrania bez zgłoszonych naruszeń.„
Zobacz również: Liczycie na zgrabną paczkę z x-komu? Możecie się rozczarować
Źródło i foto: HP