از کاربران خواسته میشود در مورد درخواستهای فوری برای باز کردن پیوندها و دانلود پیوستها، به ویژه از منابع غیرمنتظره یا ناشناخته، محتاط باشند.
قبل از این آخرین کمپین Magniber، باجافزار از طریق فایلهای MSI و EXE منتشر میشد – اما مانند سایر گروههای مجرم سایبری، آنها متوجه موفقیتی شدهاند که میتوان با تحویل بارهای مخفی در فایلهای آرشیو به دست آورد.
الکس هالند، تحلیلگر ارشد بدافزار در HP می گوید: “رمزگذاری آرشیوها آسان است و به عوامل تهدید کمک می کند تا بدافزارها را پنهان کنند و از پروکسی های وب، جعبه های ایمنی یا اسکنرهای ایمیل فرار کنند. این امر شناسایی حملات را دشوار می کند، به ویژه هنگامی که با تکنیک های قاچاق HTML ترکیب شود.” تیم تحقیقاتی تهدید امنیتی Wolf.
تحقیق، بر اساس داده های مشتری توسط HP Wolf Securityدر بازه زمانی بین جولای و سپتامبر سال جاری، 42 درصد از تلاشها برای ارسال حملات بدافزار از فرمتهای فایل آرشیو، از جمله ZIP و RAR استفاده کردند.
همچنین: باج افزار: چرا هنوز یک تهدید بزرگ است، و باندها به کجا می روند؟
در بسیاری از موارد، مهاجمان ایمیلهای فیشینگ میسازند که به نظر میرسد از برندهای شناختهشده و ارائهدهندگان خدمات آنلاین هستند، که سعی میکنند کاربر را فریب دهند تا فایل ZIP یا RAR مخرب را باز کند و اجرا کند.
به گفته محققان، این اولین بار در بیش از سه سال است که فایل های آرشیو از فایل های مایکروسافت آفیس به عنوان رایج ترین ابزار ارسال بدافزار پیشی گرفته اند.
با رمزگذاری بارهای مخرب و پنهان کردن آنها در فایل های بایگانی، راه دور زدن بسیاری از حفاظت های امنیتی را در اختیار مهاجمان قرار می دهد.
همچنین: امنیت سایبری: اینها چیزهای جدیدی است که در سال 2023 باید نگران آنها بود
این بدان معناست که حملات سایبری برای سوء استفاده از فرمتهای ZIP و RAR رایجتر از حملاتی هستند که با استفاده از اسناد مایکروسافت آفیس مانند مایکروسافت ورد و فایلهای مایکروسافت اکسل، که مدتها روش ترجیحی برای اغوا کردن قربانیان به دانلود بدافزار هستند، بدافزار ارائه میکنند.
بر اساس تجزیه و تحلیل HP Wolf Security، یکی از بدنام ترین کمپین های بدافزار که اکنون به آرشیوهای ZIP و فایل های مخرب HTML متکی است Qakbot است – یک خانواده بدافزار که نه تنها برای سرقت داده ها استفاده می شود، بلکه به عنوان یک درب پشتی برای استقرار باج افزار نیز استفاده می شود.
Qakbot در ماه سپتامبر با پیامهای مخربی که از طریق ایمیل ارسال میشد، دوباره ظاهر شد و ادعا میکرد که مربوط به اسناد آنلاینی است که باید باز شوند. اگر بایگانی اجرا می شد، از دستورات مخرب برای دانلود و اجرای payload در قالب یک کتابخانه پیوند پویا استفاده می کرد، سپس با استفاده از ابزارهای قانونی – اما معمولاً مورد سوء استفاده – در ویندوز راه اندازی شد.
همچنین دیده شده است که یک گروه باج افزار از فایل های ZIP و RAR به این شکل سوء استفاده می کند. به گفته HP Wolf Security، کمپینی که توسط گروه باجافزار Magniber منتشر شده است، کاربران خانگی را هدف قرار داده است، با حملاتی که فایلها را رمزگذاری میکنند و 2500 دلار از قربانیان طلب میکنند.
در این مورد، آلودگی با دانلود از یک وبسایت تحت کنترل مهاجم شروع میشود که از کاربران میخواهد یک آرشیو ZIP حاوی یک فایل جاوا اسکریپت را دانلود کنند که ادعا میشود یک آنتی ویروس مهم یا بهروزرسانی نرمافزار ویندوز 10 است. در صورت اجرا و اجرا، باج افزار را دانلود و نصب می کند.