Hlavní navigace

HP: Kyberzločinci k útokům stále častěji využívají Excel

31. 1. 2022
Doba čtení: 2 minuty

Sdílet

 Autor: (c) Gorodenkoff - Fotolia.com
Techniky skrytého útoku a stále častější malwarové útoky prostřednictvím aplikace Excel umožňují gangům útočícím ransomwarem zasáhnout stále více obětí.

Společnost HP zveřejnila zprávu HP Wolf Security Threat Insights Report, z níž vyplývá, že k šíření malwaru jsou stále častěji zneužívány doplňky aplikace Microsoft Excel.

Tyto soubory podle analytiků umožňují útočníkům ovládnout cílová zařízení a vystavují firmy i jednotlivce nebezpečí krádeže dat a ničivých ransomwarových útoků.

Ve srovnání s minulým čtvrtletím dle HP došlo k obrovskému, téměř šestinásobnému nárůstu (+588 %) počtu útoků, využívajících k napadení systému infikované soubory doplňku aplikace Microsoft Excel (.xll).

HP upozorňuje, že tato technika se ukázala jako obzvláště nebezpečná, protože ke spuštění malwaru stačí jediné kliknutí. Tým také na nelegálních tržištích na darknetu nalezl reklamy na droppery .xll a sady pro tvorbu malwaru, které umožňují i nezkušeným útočníkům snadno zahájit útočnou kampaň. 

Obezřetnost je na místě

Společnost v tomto kontextu dodává, že nedávná spamová kampaň QakBot navíc používala k oklamání adresátů soubory aplikace Excel. Útočníci přitom prostřednictvím napadených e-mailových účtů vstupovali do probíhající konverzace.

V odpovědi pak zasílali v příloze infikovaný soubor pro aplikaci Excel (.xlsb). QakBot se po proniknutí do systému maskuje jako legitimní proces systému Windows, aby se tím vyhnul odhalení.

Napadené excelové soubory (.xls) byly použity také k šíření bankovního trojského koně Ursnif mezi italskými firmami a organizacemi veřejného sektoru prostřednictvím škodlivé spamové kampaně, přičemž útočníci se vydávali za italskou kurýrní službu BRT.

Nové kampaně šířící malware Emotet nyní podle zprávy společnosti HP používají místo souborů JavaScript nebo Word také soubory ve formátu Excel.

Zneužívání legitimních funkcí softwaru ke skrytí před detekčními nástroji je běžnou taktikou útočníků, stejně jako používání neobvyklých typů souborů, které mohou bez povšimnutí projít přes e-mailové brány,“ upozorňuje Alex Holland z divize HP Wolf Security.

Na základě nárůstu výskytu škodlivých souborů .xll doporučuje správcům sítě nakonfigurovat e-mailové brány tak, aby blokovaly příchozí přílohy .xll, propouštěly pouze doplňky podepsané důvěryhodnými partnery nebo zcela zakázaly doplňky aplikace Excel.

Malware přejde i přes skenovací programy

Bezpečnostní analytici dále zjistili, že 13 % izolovaného e-mailového malwaru obešlo alespoň jeden skenovací program e-mailové brány. Ve snaze o infikování firemních počítačů bylo použito 136 různých přípon souborů.

Z průzkumů rovněž vyplynulo, že 77 % zjištěného škodlivého softwaru bylo doručeno e-mailem, 13 % připadá na stahování z webu. Nejčastějšími přílohami, používanými k doručení malwaru, byly dokumenty (29 %), archivy (28 %), spustitelné soubory (21 %) a tabulky (20 %).

ICTS24

Nejčastější phishingové návnady se objevovaly v souvislosti s Novým rokem nebo s obchodními transakcemi, např. „Objednávka“, „2021/2022“, „Platba“, „Nákup“, „Žádost“ a „Faktura“.

Zdroj: HP

Čtěte dále

IDC: Trh zařízení pro chytrou domácnost ožívá, ale velmi pomalu
IDC: Trh zařízení pro chytrou domácnost ožívá, ale velmi pomalu
ČMIS: IT sektor je na NIS2 připraven, řada firem nikoli
ČMIS: IT sektor je na NIS2 připraven, řada firem nikoli
Anketa ChannelWorldu o monitorech: Odpovídá Petr Zajíček (Dell)
Anketa ChannelWorldu o monitorech: Odpovídá Petr Zajíček (Dell)
Comguard se stává součástí portfolia MAM Private Equity Fund
Comguard se stává součástí portfolia MAM Private Equity Fund
Arrow Electronics jako první získal cloudový kompetenční certifikát od Broadcomu
Arrow Electronics jako první získal cloudový kompetenční certifikát od Broadcomu
ComSource: Objem DDoS útoků na české firmy dlouhodobě stagnuje
ComSource: Objem DDoS útoků na české firmy dlouhodobě stagnuje