بر اساس تجزیه و تحلیل حملات سایبری در دنیای واقعی و دادههای جمعآوریشده از میلیونها رایانه شخصی، فایلهای ZIP و RAR از اسناد آفیس به عنوان فایلی که بیشتر مورد استفاده مجرمان سایبری برای ارسال بدافزار استفاده میشود، پیشی گرفتهاند.
تحقیق، بر اساس داده های مشتری توسط HP Wolf Securityدر بازه زمانی بین جولای و سپتامبر سال جاری، 42 درصد از تلاشها برای ارسال حملات بدافزار از فرمتهای فایل آرشیو، از جمله ZIP و RAR استفاده کردند.
این بدان معناست که حملات سایبری برای سوء استفاده از فرمتهای ZIP و RAR رایجتر از حملاتی هستند که با استفاده از اسناد مایکروسافت آفیس مانند مایکروسافت ورد و فایلهای مایکروسافت اکسل، که مدتها روش ترجیحی برای اغوا کردن قربانیان به دانلود بدافزار هستند، بدافزار ارائه میکنند.
به گفته محققان، این اولین بار در بیش از سه سال است که فایل های آرشیو از فایل های مایکروسافت آفیس به عنوان رایج ترین ابزار ارسال بدافزار پیشی گرفته اند.
با رمزگذاری بارهای مخرب و پنهان کردن آنها در فایل های بایگانی، راه دور زدن بسیاری از حفاظت های امنیتی را در اختیار مهاجمان قرار می دهد.
الکس هالند، تحلیلگر ارشد بدافزار در HP می گوید: “رمزگذاری آرشیوها آسان است و به عوامل تهدید کمک می کند تا بدافزارها را پنهان کنند و از پروکسی های وب، جعبه های ایمنی یا اسکنرهای ایمیل فرار کنند. این امر شناسایی حملات را دشوار می کند، به ویژه هنگامی که با تکنیک های قاچاق HTML ترکیب شود.” تیم تحقیقاتی تهدید امنیتی Wolf.
همچنین: امنیت سایبری: اینها چیزهای جدیدی است که در سال 2023 باید نگران آنها بود
در بسیاری از موارد، مهاجمان ایمیلهای فیشینگ میسازند که به نظر میرسد از برندهای شناختهشده و ارائهدهندگان خدمات آنلاین هستند، که سعی میکنند کاربر را فریب دهند تا فایل ZIP یا RAR مخرب را باز کند و اجرا کند.
این شامل استفاده از فایلهای HTML مخرب در ایمیلهایی میشود که به عنوان اسناد PDF ظاهر میشوند – که اگر اجرا شوند، یک نمایشگر سند آنلاین جعلی را نشان میدهند که بایگانی ZIP را رمزگشایی میکند. اگر توسط کاربر دانلود شود، او را به بدافزار آلوده می کند.
بر اساس تجزیه و تحلیل HP Wolf Security، یکی از بدنام ترین کمپین های بدافزار که اکنون به آرشیوهای ZIP و فایل های مخرب HTML متکی است Qakbot است – یک خانواده بدافزار که نه تنها برای سرقت داده ها استفاده می شود، بلکه به عنوان یک درب پشتی برای استقرار باج افزار نیز استفاده می شود.
Qakbot در ماه سپتامبر با پیامهای مخربی که از طریق ایمیل ارسال میشد، دوباره ظاهر شد و ادعا میکرد که مربوط به اسناد آنلاینی است که باید باز شوند. اگر بایگانی اجرا می شد، از دستورات مخرب برای دانلود و اجرای payload در قالب یک کتابخانه پیوند پویا استفاده می کرد، سپس با استفاده از ابزارهای قانونی – اما معمولاً مورد سوء استفاده – در ویندوز راه اندازی شد.
اندکی پس از آن، مجرمان سایبری توزیع کننده IcedID – نوعی بدافزار که برای فعال کردن حملات باجافزار دستی و انسانی نصب میشود – شروع به استفاده از الگوی تقریباً مشابهی کردند که توسط Qakbot برای سوء استفاده از فایلهای آرشیو برای فریب قربانیان برای دانلود استفاده میشود. بد افزار.
هر دو کمپین تلاش کردند تا اطمینان حاصل کنند که ایمیلها و صفحات جعلی HTML برای فریب هر چه بیشتر قربانیان مشروع به نظر میرسند.
آنچه در کمپینهای QakBot و IcedID جالب بود، تلاش برای ایجاد صفحات جعلی بود – این کمپینها از آنچه قبلاً دیدهایم قانعکنندهتر بودند و مردم نمیدانند به چه فایلهایی میتوانند اعتماد کنند و به چه فایلهایی نمیتوانند اعتماد کنند. هالند گفت.
همچنین: باج افزار: چرا هنوز یک تهدید بزرگ است، و باندها به کجا می روند؟
همچنین دیده شده است که یک گروه باج افزار از فایل های ZIP و RAR به این شکل سوء استفاده می کند. به گفته HP Wolf Security، کمپینی که توسط گروه باجافزار Magniber منتشر شده است، کاربران خانگی را هدف قرار داده است، با حملاتی که فایلها را رمزگذاری میکنند و 2500 دلار از قربانیان طلب میکنند.
در این مورد، آلودگی با دانلود از یک وبسایت تحت کنترل مهاجم شروع میشود که از کاربران میخواهد یک آرشیو ZIP حاوی یک فایل جاوا اسکریپت را دانلود کنند که ادعا میشود یک آنتی ویروس مهم یا بهروزرسانی نرمافزار ویندوز 10 است. در صورت اجرا و اجرا، باج افزار را دانلود و نصب می کند.
قبل از این آخرین کمپین Magniber، باجافزار از طریق فایلهای MSI و EXE منتشر میشد – اما مانند سایر گروههای مجرم سایبری، آنها متوجه موفقیتی شدهاند که میتوان با تحویل بارهای مخفی در فایلهای آرشیو به دست آورد.
مجرمان سایبری به طور مداوم حملات خود را تغییر میدهند و فیشینگ یکی از روشهای کلیدی ارسال بدافزار باقی میماند، زیرا تشخیص مشروع بودن ایمیل یا فایلها اغلب دشوار است – بهویژه اگر قبلاً با پنهان کردن بار مخرب در جایی که نرمافزار ضد ویروس میتواند از بین رفته باشد. آن را تشخیص ندهد
از کاربران خواسته میشود در مورد درخواستهای فوری برای باز کردن پیوندها و دانلود پیوستها، به ویژه از منابع غیرمنتظره یا ناشناخته، محتاط باشند.
اطلاعات بیشتر در مورد امنیت سایبری
منبع: https://www.zdnet.com/article/these-file-types-are-the-ones-most-commonly-used-by-hackers-to-hide-their-malware/#ftag=RSSbaffb68