HP: Kyberzločinci k útokům stále častěji využívají Excel

31. 1. 2022
Doba čtení: 2 minuty

Sdílet

 Autor: (c) Gorodenkoff - Fotolia.com
Techniky skrytého útoku a stále častější malwarové útoky prostřednictvím aplikace Excel umožňují gangům útočícím ransomwarem zasáhnout stále více obětí.

Společnost HP zveřejnila zprávu HP Wolf Security Threat Insights Report, z níž vyplývá, že k šíření malwaru jsou stále častěji zneužívány doplňky aplikace Microsoft Excel.

Tyto soubory podle analytiků umožňují útočníkům ovládnout cílová zařízení a vystavují firmy i jednotlivce nebezpečí krádeže dat a ničivých ransomwarových útoků.

Ve srovnání s minulým čtvrtletím dle HP došlo k obrovskému, téměř šestinásobnému nárůstu (+588 %) počtu útoků, využívajících k napadení systému infikované soubory doplňku aplikace Microsoft Excel (.xll).

HP upozorňuje, že tato technika se ukázala jako obzvláště nebezpečná, protože ke spuštění malwaru stačí jediné kliknutí. Tým také na nelegálních tržištích na darknetu nalezl reklamy na droppery .xll a sady pro tvorbu malwaru, které umožňují i nezkušeným útočníkům snadno zahájit útočnou kampaň. 

Obezřetnost je na místě

Společnost v tomto kontextu dodává, že nedávná spamová kampaň QakBot navíc používala k oklamání adresátů soubory aplikace Excel. Útočníci přitom prostřednictvím napadených e-mailových účtů vstupovali do probíhající konverzace.

V odpovědi pak zasílali v příloze infikovaný soubor pro aplikaci Excel (.xlsb). QakBot se po proniknutí do systému maskuje jako legitimní proces systému Windows, aby se tím vyhnul odhalení.

Napadené excelové soubory (.xls) byly použity také k šíření bankovního trojského koně Ursnif mezi italskými firmami a organizacemi veřejného sektoru prostřednictvím škodlivé spamové kampaně, přičemž útočníci se vydávali za italskou kurýrní službu BRT.

Nové kampaně šířící malware Emotet nyní podle zprávy společnosti HP používají místo souborů JavaScript nebo Word také soubory ve formátu Excel.

Zneužívání legitimních funkcí softwaru ke skrytí před detekčními nástroji je běžnou taktikou útočníků, stejně jako používání neobvyklých typů souborů, které mohou bez povšimnutí projít přes e-mailové brány,“ upozorňuje Alex Holland z divize HP Wolf Security.

Na základě nárůstu výskytu škodlivých souborů .xll doporučuje správcům sítě nakonfigurovat e-mailové brány tak, aby blokovaly příchozí přílohy .xll, propouštěly pouze doplňky podepsané důvěryhodnými partnery nebo zcela zakázaly doplňky aplikace Excel.

Malware přejde i přes skenovací programy

Bezpečnostní analytici dále zjistili, že 13 % izolovaného e-mailového malwaru obešlo alespoň jeden skenovací program e-mailové brány. Ve snaze o infikování firemních počítačů bylo použito 136 různých přípon souborů.

Z průzkumů rovněž vyplynulo, že 77 % zjištěného škodlivého softwaru bylo doručeno e-mailem, 13 % připadá na stahování z webu. Nejčastějšími přílohami, používanými k doručení malwaru, byly dokumenty (29 %), archivy (28 %), spustitelné soubory (21 %) a tabulky (20 %).

ICTS24

Nejčastější phishingové návnady se objevovaly v souvislosti s Novým rokem nebo s obchodními transakcemi, např. „Objednávka“, „2021/2022“, „Platba“, „Nákup“, „Žádost“ a „Faktura“.

Zdroj: HP

Čtěte dále

HPE ocenilo partnery roku 2024, nejlepším distributorem je DNS
HPE ocenilo partnery roku 2024, nejlepším distributorem je DNS
Datart: Gamingu kralují konzole, před PC je preferují dvě třetiny kupujících
Datart: Gamingu kralují konzole, před PC je preferují dvě třetiny kupujících
ComSource: Čtyři z pěti organizací kritické infrastruktury čelily phishingu
ComSource: Čtyři z pěti organizací kritické infrastruktury čelily phishingu
Coffee break: Když Wi-Fi potřebuje překonávat i kovové zdi
Coffee break: Když Wi-Fi potřebuje překonávat i kovové zdi
IDC: Dodávky průmyslových tiskáren stagnují, výkonnost segmentů se ale liší
IDC: Dodávky průmyslových tiskáren stagnují, výkonnost segmentů se ale liší
AT Computers je opět nejlepším distributorem klientských zařízení Dell
AT Computers je opět nejlepším distributorem klientských zařízení Dell