Tin tức và phân tích của tất cả các thiết bị di động

Tệp lưu trữ lần đầu tiên vượt qua tài liệu Office để trở thành loại tệp độc hại phổ biến nhất

Hôm nay HP đã công bố Báo cáo Dự báo Đe dọa Bảo mật HP Wolf quý 3; Nó tiết lộ rằng các định dạng tệp lưu trữ như tệp ZIP và RAR là loại tệp được sử dụng nhiều nhất để phát tán phần mềm độc hại, vượt qua các tệp Office lần đầu tiên sau ba năm. Trình bày phân tích về các cuộc tấn công mạng trong thế giới thực, báo cáo giúp các tổ chức bằng cách nêu bật các kỹ thuật mới nhất được tội phạm mạng sử dụng để không bị phát hiện và gây hại cho người dùng trong bối cảnh tội phạm mạng đang thay đổi nhanh chóng.

Báo cáo dự đoán mối đe dọa bảo mật HP Wolf được phát hành

Dựa trên dữ liệu từ hàng triệu điểm cuối chạy HP Wolf Security, nghiên cứu cho thấy 44% phần mềm độc hại được gửi từ bên trong các tệp lưu trữ. Theo báo cáo, tỷ lệ tệp lưu trữ là 44%, so với 32%, tức là tỷ lệ lây lan phần mềm độc hại thông qua các tệp Office như Microsoft Word, Excel và PowerPoint, cũng cho thấy mức tăng 11% so với quý trước.

Báo cáo đã xác định một số cuộc tấn công kết hợp việc sử dụng tệp lưu trữ với các kỹ thuật buôn lậu HTML mới (kỹ thuật để tội phạm mạng nhúng tệp lưu trữ độc hại vào tệp HTML để vượt qua cổng email) rồi tiến hành một cuộc tấn công.

Ví dụ: các cuộc tấn công QakBot và IceID gần đây đã sử dụng các tệp HTML để chuyển hướng người dùng đến những trình xem tài liệu trực tuyến giả mạo giả dạng Adobe. Sau đó, người dùng được hướng dẫn mở tệp ZIP và nhập mật khẩu để mở tệp và với mật khẩu đó, phần mềm độc hại đã được cài vào máy tính của họ.

Phần mềm độc hại bên trong tệp HTML gốc được mã hóa và mã hóa, khiến cổng email hoặc các công cụ bảo mật khác rất khó phát hiện. Những kẻ tấn công dựa vào kỹ thuật xã hội và lừa mọi người mở tệp ZIP độc hại để tạo ra một trang web được thiết kế đẹp mắt và thuyết phục. Vào tháng 10, những kẻ tấn công tương tự Google Drive Họ bị phát hiện đang cố lừa người dùng mở các tệp ZIP có hại bằng cách sử dụng các trang.

HP cũng đã phát hiện một cuộc tấn công tinh vi sử dụng chuỗi lây nhiễm mô-đun cho phép kẻ tấn công chuyển đổi vũ khí (như phần mềm gián điệp, ransomware, keylogger) ngay giữa cuộc tấn công hoặc giới thiệu các tính năng mới như hàng rào địa lý (viền ảo xung quanh một khu vực địa lý). ). Nghĩa là, kẻ tấn công có thể thay đổi chiến thuật tùy thuộc vào mục tiêu mà hắn đã xâm phạm. Việc phần mềm độc hại không có trong tệp đính kèm được gửi trực tiếp đến mục tiêu cũng khiến các cổng email khó phát hiện các cuộc tấn công như vậy.

Để bảo vệ người dùng, HP Wolf Security thực hiện các bước nguy hiểm như mở tệp đính kèm email, tải xuống tệp và nhấp vào liên kết vào các máy vi ảo (microVM) bị cô lập và ghi lại dấu vết chi tiết về các nỗ lực lây nhiễm. Công nghệ cách ly ứng dụng của HP giảm thiểu các mối đe dọa có thể phá vỡ các công cụ bảo mật khác, đồng thời cung cấp các kỹ thuật xâm nhập mới và thông tin chuyên sâu độc đáo về hành vi của các tác nhân đe dọa. HP Wolf Security thu thập thông tin cụ thể về các kỹ thuật mới nhất được tội phạm mạng sử dụng, cô lập các mối đe dọa phá vỡ các công cụ phát hiện. Cho đến nay, khách hàng của HP đã nhấp vào hơn 18 tỷ tệp đính kèm email, trang web và tệp đã tải xuống mà không có báo cáo vi phạm nào.