Společnost HP zveřejnila zprávu HP Wolf Security Threat Insights Report, z níž vyplývá, že k šíření malwaru jsou stále častěji zneužívány doplňky aplikace Microsoft Excel.
Tyto soubory podle analytiků umožňují útočníkům ovládnout cílová zařízení a vystavují firmy i jednotlivce nebezpečí krádeže dat a ničivých ransomwarových útoků.
Ve srovnání s minulým čtvrtletím dle HP došlo k obrovskému, téměř šestinásobnému nárůstu (+588 %) počtu útoků, využívajících k napadení systému infikované soubory doplňku aplikace Microsoft Excel (.xll).
HP upozorňuje, že tato technika se ukázala jako obzvláště nebezpečná, protože ke spuštění malwaru stačí jediné kliknutí. Tým také na nelegálních tržištích na darknetu nalezl reklamy na droppery .xll a sady pro tvorbu malwaru, které umožňují i nezkušeným útočníkům snadno zahájit útočnou kampaň.
Obezřetnost je na místě
Společnost v tomto kontextu dodává, že nedávná spamová kampaň QakBot navíc používala k oklamání adresátů soubory aplikace Excel. Útočníci přitom prostřednictvím napadených e-mailových účtů vstupovali do probíhající konverzace.
V odpovědi pak zasílali v příloze infikovaný soubor pro aplikaci Excel (.xlsb). QakBot se po proniknutí do systému maskuje jako legitimní proces systému Windows, aby se tím vyhnul odhalení.
Napadené excelové soubory (.xls) byly použity také k šíření bankovního trojského koně Ursnif mezi italskými firmami a organizacemi veřejného sektoru prostřednictvím škodlivé spamové kampaně, přičemž útočníci se vydávali za italskou kurýrní službu BRT.
Nové kampaně šířící malware Emotet nyní podle zprávy společnosti HP používají místo souborů JavaScript nebo Word také soubory ve formátu Excel.
„Zneužívání legitimních funkcí softwaru ke skrytí před detekčními nástroji je běžnou taktikou útočníků, stejně jako používání neobvyklých typů souborů, které mohou bez povšimnutí projít přes e-mailové brány,“ upozorňuje Alex Holland z divize HP Wolf Security.
Na základě nárůstu výskytu škodlivých souborů .xll doporučuje správcům sítě nakonfigurovat e-mailové brány tak, aby blokovaly příchozí přílohy .xll, propouštěly pouze doplňky podepsané důvěryhodnými partnery nebo zcela zakázaly doplňky aplikace Excel.
Malware přejde i přes skenovací programy
Bezpečnostní analytici dále zjistili, že 13 % izolovaného e-mailového malwaru obešlo alespoň jeden skenovací program e-mailové brány. Ve snaze o infikování firemních počítačů bylo použito 136 různých přípon souborů.
Z průzkumů rovněž vyplynulo, že 77 % zjištěného škodlivého softwaru bylo doručeno e-mailem, 13 % připadá na stahování z webu. Nejčastějšími přílohami, používanými k doručení malwaru, byly dokumenty (29 %), archivy (28 %), spustitelné soubory (21 %) a tabulky (20 %).
Nejčastější phishingové návnady se objevovaly v souvislosti s Novým rokem nebo s obchodními transakcemi, např. „Objednávka“, „2021/2022“, „Platba“, „Nákup“, „Žádost“ a „Faktura“.
Zdroj: HP