По данным HP Wolf, растущая диверсификация способов доставки вредоносного ПО привела к тому, что 11% угроз в электронной почте обходят один или несколько этапов защиты.
Вредоносное ПО, скрытое в файлах изображений
Исследователи выделили отдельные кампании социальной инженерии, распространяющие вредоносное ПО VIP Keylogger и 0bj3ctivityStealer, обе из которых включали внедрение вредоносного кода в файлы изображений.
HP Wolf объяснил, что эта тактика помогает злоумышленникам избегать обнаружения, поскольку файлы изображений выглядят безобидными при загрузке с известных веб-сайтов. Это позволяет им обходить меры сетевой безопасности, такие как веб-прокси, которые полагаются на репутацию.
VIP Keylogger — это комплексный кейлоггер и средство кражи данных, способное записывать нажатия клавиш, извлекать учетные данные из приложений, данные буфера обмена и делать снимки экрана.
В ходе кампании по распространению этого вредоносного ПО злоумышленники отправляли жертвам электронные письма, выдававшие себя за счета-фактуры и заказы на закупку. Эти электронные письма содержали вредоносные архивные файлы, такие как Z и GZ, которые содержали исполняемый файл .NET.
Если файл открыт, он действует как начальный этап, распаковывая и запуская VIP Keylogger. Для сохранения вредоносная программа создает ключ запуска реестра, чтобы она могла запускаться каждый раз, когда пользователь входит в систему.
0bj3ctivityStealer — это инфостайлер, разработанный для кражи информации, такой как пароли и данные кредитных карт, через Telegram, HTTP или SMTP. Исследователи наблюдали кампанию по распространению этого вредоносного ПО, которое имело много общего с деятельностью VIP Keylogger.
Атакующие начали с отправки вредоносных архивных файлов жертвам по электронной почте, выдавая их за запросы котировок. Архивы содержали файл JavaScript, который смешивал легитимный и вредоносный код.
Запуск Javascript декодирует скрипт PowerShell, закодированный в Base64, и выполняет его через ActiveXObject. Этот скрипт загружает изображение с веб-сервера, которое содержит вредоносный код, закодированный в Base64.
Затем вредоносная программа декодирует текст, создавая исполняемый файл .NET, а затем загружает его в PowerShell. Исполняемый файл .NET такой же, как загрузчик, используемый в кампании VIP Keylogger.
Исследователи добавили, что сходство между кампаниями VIP Keylogger и 0bj3ctivityStealer позволяет предположить, что наборы вредоносного ПО распространяются между разными группами.
Злоумышленники используют GenAI для доставки вредоносного ПО
В отчете также освещается контрабандная кампания HTML, распространяющая вредоносное ПО XWorm , которое, по мнению исследователей, использовало файлы, написанные с помощью GenAI.
Контрабанда HTML — это подход, используемый злоумышленниками для доставки вредоносного контента, скрытого в HTML-файлах.
XWorm — это многоцелевое вредоносное ПО, которое в большинстве случаев используется в качестве RAT или средства кражи информации.
Исследователи выявили два признака, указывающих на то, что HTML-файлы были написаны с помощью GenAI.
Если пользователь открывает HTML-файл в своем веб-браузере, вредоносный контент декодируется и загружается.
Исследователи заявили, что эта активность указывает на растущее использование GenAI на промежуточных этапах цепочки атак, уделяя особое внимание первоначальному доступу и доставке вредоносного ПО.
Это означает, что злоумышленники могут потенциально масштабировать свои атаки и создавать больше вариаций, которые увеличивают уровень заражения, используя GenAI таким образом.
Хотя в настоящее время нет никаких доказательств того, что злоумышленники используют GenAI при разработке вредоносных программ в реальных условиях, исследователи HP Wolf полагают, что это может произойти в будущем по мере совершенствования возможностей технологии.
Злоумышленники диверсифицируют тактику, чтобы обойти обнаружение
Тактика, описанная в отчете, демонстрирует, что злоумышленники перепрофилируют и объединяют компоненты атак для повышения эффективности своих кампаний.
По словам исследователей, это сокращает время и навыки, необходимые для создания цепочек заражения, что позволяет злоумышленникам сосредоточиться на экспериментах с методами обхода обнаружения.
Было отмечено, что для доставки вредоносного ПО используются различные векторы и форматы файлов. Более половины (52%) вредоносного ПО, доставленного на конечные точки, было отправлено по электронной почте, хотя это на девять процентных пунктов меньше, чем во втором квартале 2024 года.
Количество загрузок вредоносных веб-браузеров выросло на 10 процентных пунктов до 28% в третьем квартале.
Исполняемые файлы были самым популярным типом доставки вредоносного ПО (40%) в этот период, что на пять процентных пунктов больше, чем во втором квартале. За ними следовали архивные файлы (34%).
Заметный рост файлов .lzh, которые составили 11% от проанализированных архивных файлов. Большинство этих вредоносных архивных файлов .lzh были нацелены на японоговорящих пользователей.
9% проанализированных угроз составили PDF-файлы, что на два процентных пункта больше, чем во втором квартале.
Форматы Microsoft Word, такие как DOC и DOCX, составили 8% угроз в третьем квартале, тогда как вредоносные электронные таблицы, такие как XLS и XLSX, составили 7%.
Доктор Ян Пратт, руководитель отдела безопасности персональных систем компании HP, предупредил: «Киберпреступники стремительно увеличивают разнообразие, объем и скорость своих атак. Если вредоносный документ Excel заблокирован, архивный файл при следующей атаке может проскользнуть через сеть».
