Numărul hackerilor care folosesc fișiere compromise Microsoft Excel a crescut semnificativ – studiu

Astfel, hackerii ajung la țintele vizate, iar companiile și utilizatorii sunt expuși la furt de date și atacuri de tip ransomware.

Raportul relevă o creștere uriașă, de peste 500% (+588%) comparativ cu trimestrul anterior (Q4 2021 vs Q3 2021), a campaniilor care folosesc fișiere compromise add-in Microsoft Excel (.xll) pentru a infecta sisteme – o tehnică foarte periculoasă având în vedere că e nevoie de un singur click pentru a răspândi malware.

De asemenea, echipa HP a descoperit pe piața neagră oferte pentru fișiere corupte .xll și kit-uri de răspândire de malware, ceea ce înseamnă că și atacatori mai puțin experimentați au acces la aceste instrumente și pot lansa campanii de hacking. 

Fișiere infectate Excel (.xls) au fost folosite pentru a răspândi troianul bancar Ursnif în companii și organizații din sectorul public din Italia, prin campanii de tip spam în care atacatorii se dădeau drept serviciul de curierat italian BRT. Campanii noi care răspândesc malware Emotet utilizează acum fișiere Excel în locul celor JavaScript sau Word. 

Alte amenințări importante identificate de echipa HP Wolf Security: 

• Revenirea TA505? HP a identificat o campanie MirrorBlast de phishing pe email cu multe elemente comune (tactici, tehnici, proceduri) cu TA505 – un grup infracțional motivat financiar recunoscut pentru campanii masive de tip malware spam. Atacul a vizat organizații prin troianul FlawedGrace Remote Access (RAT).
• Platformă falsă de gaming care infectează victimele cu RedLine. A fost descoperit un website fals care păcălea vizitatorii să descarce RedLine, programul care fură informații personale. 
• Grupul infracțional Aggah a vizat organizații coreene cu fișiere corupte Power Point add-in (.ppa) deghizate în comenzi, care au infectat sistemele cu troieni accesați remote. Utilizarea de fișiere PowerPoint malware este neobișnuită – astfel de atacuri reprezintă 1% din malware. 

“Folosirea caracteristicilor software legitime pentru a trece de barierele de securitate este o practică uzuală a hackerilor, la fel ca utilizarea fișierelor atipice care pot trece de sisteme de securitate ale e-mailului. Echipele de securitate cibernetică nu trebuie să se bazeze doar pe instrumentele de detectare a posibilelor amenințări. Trebuie să fie la curent cu ultimele metode și să-și adapteze sistemele de protecție ținând cont de acestea. De exemplu, bazându-ne pe creșterea atacurilor care folosesc fișiere cu extensia .xll, i-aș avertiza pe administratorii de rețea să configureze sisteme de protecție pentru conturile de e-mail, care să blocheze atașamentele .xll, permițând accesul doar celor venite de la utilizatori de încredere”, a explicat Alex Holland, senior malware analyst în cadrul echipei HP Wolf Security, HP Inc. ”Infractorii cibernetici au investit în tehnici, iar acum este foarte greu pentru utilizatori să-și dea seama dacă un email este curat sau compromis.”

Concluziile raportului se bazează pe informații obținute de la milioane de puncte terminale care rulează HP Wolf Security. HP Wolf Security scanează malware-ul deschizând și izolând fișierele compromise, pentru a înțelege și identifica întreg lanțul de infectare, ajutând la înțelegea amenințărilor cibernetice care au trecut de barierele de securitate.

Astfel, clienții au putut să acceseze peste 10 miliarde de atașamente, pagini web și fișiere descărcate fără să raporteze probleme. Înțelegând modul în care acționează programele malware, cercetătorii și inginerii din echipa HP Wolf Security pot îmbunătăți sistemele de protecție a punctelor terminale și reziliența sistemului, în general. 

Alte concluzii ale raportului: 

• 13% dintre programele malware trimise pe e-mail, care au fost izolate, au trecut de cel puțin o barieră de securitate.
• Au fost folosite 136 de extensii de fișiere diferite în încercările de a infecta organizații.
• 77% dintre programele malware detectate au fost livrate prin email, iar fișierele descărcate de pe internet au reprezentat 13%.
• Cele mai folosite fișiere pentru a livra malware au fost documentele (29%), arhivele (28%), executabilele (21%), foile de calcul Excel (20%).
• Cele mai uzuale momeli tip phishing au avut legătură cu Anul Nou sau cu tranzacții de business folosind cuvinte cheie, precum: “comandă”, “2021/2022”, “plată”, “cumpărare”, “cerere” și “factură”.

“În prezent, infractorii cibernetici cu expunere limitată pot lansa atacuri ascunse și apoi vinde informațiile obținute unor grupuri organizate motivate financiar, ceea ce poate provoca o breșă importantă de  securitate care să paralizeze sistemele IT și să blocheze operațiunile”, a declarat Dr. Ian Pratt, Global Head of Security Personal Systems la HP Inc. “Organizațiile ar trebui să aibă în vedere reducerea punctelor vulnerabile, concentrându-se și pe metodele de recuperare rapidă în cazul unei breșe de securitate. Acest lucru înseamnă respectarea principiilor Zero Trust.”

Date au fost colectate în perioada octombrie-decembrie 2021.