Creştere cu 588% a numărului de campanii care folosesc fişiere compromise Microsoft Excel pentru a infecta sisteme - raport HP

Microsoft Excel. FOTO Shuttestock

HP a lansat cel mai recent studiu global HP Wolf Security Threat Insights Report, care analizează ameninţările care au trecut de barierele de securitate şi au ajuns la utilizatorii finali.

Raportul HP Wolf Security oferă informaţii specifice legate de cele mai noi tehnici utilizate de infractorii cibernetici.

Raportul a identificat un val de atacuri care folosesc fişiere de tip add-in Excel pentru a răspândi malware. Astfel, hackerii ajung la ţintele vizate, iar companiile şi utilizatorii sunt expuşi la furt de date şi atacuri de tip ransomware. 

Raportul relevă o creştere uriaşă, de peste 500% (+588%) comparativ cu trimestrul anterior (Q4 2021 vs Q3 2021), a campaniilor care folosesc fişiere compromise add-in Microsoft Excel (.xll) pentru a infecta sisteme – o tehnică foarte periculoasă având în vedere că e nevoie de un singur click pentru a răspândi malware. 

Echipa HP a descoperit pe piaţa neagră oferte pentru fişiere corupte .xll şi kit-uri de răspândire de malware, ceea ce înseamnă că şi atacatori mai puţin experimentaţi au acces la aceste instrumente şi pot lansa campanii de hacking.

Fişiere infectate Excel (.xls) au fost folosite pentru a răspândi troianul bancar Ursnif în companii şi organizaţii din sectorul public din Italia, prin campanii de tip spam în care atacatorii se dădeau drept serviciul de curierat italian BRT. Campanii noi care răspândesc malware Emotet utilizează acum fişiere Excel în locul celor JavaScript sau Word.

Alte ameninţări importante identificate de echipa HP Wolf Security:

• Revenirea TA505? HP a identificat o campanie MirrorBlast de phishing pe email cu multe elemente comune (tactici, tehnici, proceduri) cu TA505 – un grup infracţional motivat financiar recunoscut pentru campanii masive de tip malware spam. Atacul a vizat organizaţii prin troianul FlawedGrace Remote Access (RAT).
• Platformă falsă de gaming care infectează victimele cu RedLine. A fost descoperit un website fals care păcălea vizitatorii să descarce RedLine, programul care fură informaţii personale.
• Grupul infracţional Aggah a vizat organizaţii coreene cu fişiere corupte Power Point add-in (.ppa) deghizate în comenzi, care au infectat sistemele cu troieni accesaţi remote. Utilizarea de fişiere PowerPoint malware este neobişnuită - astfel de atacuri reprezintă 1% din malware.

Concluziile raportului se bazează pe informaţii obţinute de la milioane de puncte terminale care rulează HP Wolf Security. HP Wolf Security scanează malware-ul deschizând şi izolând fişierele compromise, pentru a înţelege şi identifica întreg lanţul de infectare, ajutând la înţelegea ameninţărilor cibernetice care au trecut de barierele de securitate. Astfel, utilizatorii au putut să acceseze peste 10 miliarde de ataşamente, pagini web şi fişiere descărcate fără să raporteze probleme. 

Alte concluzii ale raportului:

• 13% dintre programele malware trimise pe e-mail, care au fost izolate, au trecut de cel puţin o barieră de securitate;
• Au fost folosite 136 de extensii de fişiere diferite în încercările de a infecta organizaţii;
• 77% dintre programele malware detectate au fost livrate prin email, iar fişierele descărcate de pe internet au reprezentat 13%;
• Cele mai folosite fişiere pentru a livra malware au fost documentele (29%), arhivele (28%), executabilele (21%), foile de calcul Excel (20%);
• Cele mai uzuale momeli tip phishing au avut legătură cu Anul Nou sau cu tranzacţii de business folosind cuvinte cheie, precum: “comandă”, “2021/2022”, “plată”, “cumpărare”, “cerere” şi “factură”.