این نوع فایل ها آنهایی هستند که بیشتر توسط هکرها برای مخفی کردن بدافزار خود استفاده می شود


گتی-زنی-نگاه-به-لپ تاپ-با-بیان-نگرانی.jpg

تصویر: گتی

بر اساس تجزیه و تحلیل حملات سایبری در دنیای واقعی و داده‌های جمع‌آوری‌شده از میلیون‌ها رایانه شخصی، فایل‌های ZIP و RAR از اسناد آفیس به عنوان فایلی که بیشتر مورد استفاده مجرمان سایبری برای ارسال بدافزار استفاده می‌شود، پیشی گرفته‌اند.

تحقیق، بر اساس داده های مشتری توسط HP Wolf Securityدر بازه زمانی بین جولای و سپتامبر سال جاری، 42 درصد از تلاش‌ها برای ارسال حملات بدافزار از فرمت‌های فایل آرشیو، از جمله ZIP و RAR استفاده کردند.

این بدان معناست که حملات سایبری برای سوء استفاده از فرمت‌های ZIP و RAR رایج‌تر از حملاتی هستند که با استفاده از اسناد مایکروسافت آفیس مانند مایکروسافت ورد و فایل‌های مایکروسافت اکسل، که مدت‌ها روش ترجیحی برای اغوا کردن قربانیان به دانلود بدافزار هستند، بدافزار ارائه می‌کنند.

به گفته محققان، این اولین بار در بیش از سه سال است که فایل های آرشیو از فایل های مایکروسافت آفیس به عنوان رایج ترین ابزار ارسال بدافزار پیشی گرفته اند.

با رمزگذاری بارهای مخرب و پنهان کردن آنها در فایل های بایگانی، راه دور زدن بسیاری از حفاظت های امنیتی را در اختیار مهاجمان قرار می دهد.

الکس هالند، تحلیلگر ارشد بدافزار در HP می گوید: “رمزگذاری آرشیوها آسان است و به عوامل تهدید کمک می کند تا بدافزارها را پنهان کنند و از پروکسی های وب، جعبه های ایمنی یا اسکنرهای ایمیل فرار کنند. این امر شناسایی حملات را دشوار می کند، به ویژه هنگامی که با تکنیک های قاچاق HTML ترکیب شود.” تیم تحقیقاتی تهدید امنیتی Wolf.

همچنین: امنیت سایبری: اینها چیزهای جدیدی است که در سال 2023 باید نگران آنها بود

در بسیاری از موارد، مهاجمان ایمیل‌های فیشینگ می‌سازند که به نظر می‌رسد از برندهای شناخته‌شده و ارائه‌دهندگان خدمات آنلاین هستند، که سعی می‌کنند کاربر را فریب دهند تا فایل ZIP یا RAR مخرب را باز کند و اجرا کند.

این شامل استفاده از فایل‌های HTML مخرب در ایمیل‌هایی می‌شود که به عنوان اسناد PDF ظاهر می‌شوند – که اگر اجرا شوند، یک نمایشگر سند آنلاین جعلی را نشان می‌دهند که بایگانی ZIP را رمزگشایی می‌کند. اگر توسط کاربر دانلود شود، او را به بدافزار آلوده می کند.

بر اساس تجزیه و تحلیل HP Wolf Security، یکی از بدنام ترین کمپین های بدافزار که اکنون به آرشیوهای ZIP و فایل های مخرب HTML متکی است Qakbot است – یک خانواده بدافزار که نه تنها برای سرقت داده ها استفاده می شود، بلکه به عنوان یک درب پشتی برای استقرار باج افزار نیز استفاده می شود.

Qakbot در ماه سپتامبر با پیام‌های مخربی که از طریق ایمیل ارسال می‌شد، دوباره ظاهر شد و ادعا می‌کرد که مربوط به اسناد آنلاینی است که باید باز شوند. اگر بایگانی اجرا می شد، از دستورات مخرب برای دانلود و اجرای payload در قالب یک کتابخانه پیوند پویا استفاده می کرد، سپس با استفاده از ابزارهای قانونی – اما معمولاً مورد سوء استفاده – در ویندوز راه اندازی شد.

اندکی پس از آن، مجرمان سایبری توزیع کننده IcedID – نوعی بدافزار که برای فعال کردن حملات باج‌افزار دستی و انسانی نصب می‌شود – شروع به استفاده از الگوی تقریباً مشابهی کردند که توسط Qakbot برای سوء استفاده از فایل‌های آرشیو برای فریب قربانیان برای دانلود استفاده می‌شود. بد افزار.

هر دو کمپین تلاش کردند تا اطمینان حاصل کنند که ایمیل‌ها و صفحات جعلی HTML برای فریب هر چه بیشتر قربانیان مشروع به نظر می‌رسند.

آنچه در کمپین‌های QakBot و IcedID جالب بود، تلاش برای ایجاد صفحات جعلی بود – این کمپین‌ها از آنچه قبلاً دیده‌ایم قانع‌کننده‌تر بودند و مردم نمی‌دانند به چه فایل‌هایی می‌توانند اعتماد کنند و به چه فایل‌هایی نمی‌توانند اعتماد کنند. هالند گفت.

همچنین: باج افزار: چرا هنوز یک تهدید بزرگ است، و باندها به کجا می روند؟

همچنین دیده شده است که یک گروه باج افزار از فایل های ZIP و RAR به این شکل سوء استفاده می کند. به گفته HP Wolf Security، کمپینی که توسط گروه باج‌افزار Magniber منتشر شده است، کاربران خانگی را هدف قرار داده است، با حملاتی که فایل‌ها را رمزگذاری می‌کنند و 2500 دلار از قربانیان طلب می‌کنند.

در این مورد، آلودگی با دانلود از یک وب‌سایت تحت کنترل مهاجم شروع می‌شود که از کاربران می‌خواهد یک آرشیو ZIP حاوی یک فایل جاوا اسکریپت را دانلود کنند که ادعا می‌شود یک آنتی ویروس مهم یا به‌روزرسانی نرم‌افزار ویندوز 10 است. در صورت اجرا و اجرا، باج افزار را دانلود و نصب می کند.

قبل از این آخرین کمپین Magniber، باج‌افزار از طریق فایل‌های MSI و EXE منتشر می‌شد – اما مانند سایر گروه‌های مجرم سایبری، آنها متوجه موفقیتی شده‌اند که می‌توان با تحویل بارهای مخفی در فایل‌های آرشیو به دست آورد.

مجرمان سایبری به طور مداوم حملات خود را تغییر می‌دهند و فیشینگ یکی از روش‌های کلیدی ارسال بدافزار باقی می‌ماند، زیرا تشخیص مشروع بودن ایمیل یا فایل‌ها اغلب دشوار است – به‌ویژه اگر قبلاً با پنهان کردن بار مخرب در جایی که نرم‌افزار ضد ویروس می‌تواند از بین رفته باشد. آن را تشخیص ندهد

از کاربران خواسته می‌شود در مورد درخواست‌های فوری برای باز کردن پیوندها و دانلود پیوست‌ها، به ویژه از منابع غیرمنتظره یا ناشناخته، محتاط باشند.

اطلاعات بیشتر در مورد امنیت سایبری


منبع: https://www.zdnet.com/article/these-file-types-are-the-ones-most-commonly-used-by-hackers-to-hide-their-malware/#ftag=RSSbaffb68