Kuna Office'i makrod ei ole enam parim viis pahatahtlike kasulike koormuste edastamiseks lõpp-punktidesse (avaneb uuel vahelehel) üle kogu maailma, hakkavad küberkurjategijad kasutama uusi strateegiaid, sealhulgas otseteefaile (. lnk).

HP Wolfi turvalisuse leiud, mis põhinevad miljonite lõpp-punktide andmetel, näitavad, et pahavara, sealhulgas .lnk-faile sisaldavate tihendatud failide arv kasvas eelmise kvartaliga võrreldes 11%. Mõnikord lisavad häkkerid need otseteed ZIP-failidesse enne nende saatmist, et vältida viirusetõrjelahenduste (avaneb uuel vahelehel) või meilikaitsemeetmete tuvastamist.

Otseteefailide puhul on kaks peamist asja, mis muudavad need ideaalseks relvaks pahavara levitamiseks (avaneb uuel vahelehel): neid saab kujundada nii, et need käitavad peaaegu kõiki faile ja neile võib olla Windowsiga eelinstallitud mis tahes ikoon. Sellegipoolest saavad häkkerid määrata sellele .pdf-faili ikooni ja lasta sellel käivitada .exe-, .log- või .dll-fail, mis võib laadida peaaegu iga viiruse. Mõnel juhul kasutavad häkkerid isegi seaduslikke Windowsi rakendusi, näiteks vana head kalkulaatorit, oma alatutel eesmärkidel.

Distribuir RedLine Thief

Peamiselt öeldakse aruandes, et ohus osalejad kasutavad QakBoti, IceID, Emoteti ja RedLine Stealeri levitamiseks otseteefaile. Nad kuritarvitavad ka Follina nullpäeva haavatavust (CVE-2022-30190), lisasid teadlased.

"Kuigi veebist allalaaditud makrod on Office'is vaikimisi blokeeritud, jälgime tähelepanelikult küberkurjategijate testitud alternatiivseid täitmismeetodeid. Otsetee või HTML-faili avamine võib tunduda töötajale kahjutu, kuid võib ettevõttele kujutada märkimisväärset ohtu,” ütleb Alex. Holland, HP Wolfi turvaohtude uurimisrühma vanemanalüütik, HP Inc.

„Organisatsioonid peavad kohe tegutsema, et kaitsta end ründajate poolt üha enam eelistatavate või üldlevinud tehnikate eest. Soovitame võimalusel kohe blokeerida meilimanustena saadud või veebist alla laaditud otsetee failid. »

Lisaks .lnk-failidele mainib Holland ka HTML-faile. Ettevõte on tuvastanud mõned andmepüügikampaaniad, milles pahatahtlikud osalejad kehastavad piirkondlikke postiteenuseid ja kasutavad pahavara levitamiseks HTML-faile. Need failid peidavad hästi pahatahtlikke tüüpe, mille e-posti lüüsid ja pahavarakaitseteenused muidu tuvastaksid.

Share This