HP Wolf Security Threat Insights Report: Problémom je OneNote a pozor si treba dať na chromeloader

Spoločnosť HP Inc. zverejnila svoju štvrťročnú správu HP Wolf Security Threat Insights Report, podľa ktorej sa útočníci v súčasnosti intenzívne zameriavajú na prehliadač Chrome, problémom je napríklad rozšírenie Chromeloadera.

Analýzou údajov z miliónov koncových zariadení chránených systémom HP Wolf Security dospeli výskumníci k nasledujúcim zisteniam:

• Rozšírenia Shampoo Chrome sa dá zbaviť len ťažko. Kampaň šíriaca malvér ChromeLoader navádza používateľov, aby si nainštalovali škodlivé rozšírenie prehliadača Chrome s názvom Shampoo. Toto rozšírenie môže presmerovať vyhľadávacie požiadavky na škodlivé webové stránky alebo stránky, ktoré útočníkom zarábajú peniaze prostredníctvom reklamných kampaní. Tento škodlivý softvér je veľmi odolný a opakovane sa spúšťa každých 50 minút pomocou plánovača úloh.
• Útočníci obchádzajú zásady zabezpečenia makier používaním dôveryhodných domén. Spoločnosť HP zistila, že aj keď sú makrá z nedôveryhodných zdrojov teraz zakázané, útočníci toto bezpečnostné opatrenie obchádzajú kompromitovaním dôveryhodného konta Office 365, nastavením nového firemného e-mailu a distribúciou škodlivého súboru v Exceli.
• Ukázalo sa, že dokumenty OneNote môžu fungovať ako digitálny album, takže k nim môžete pripojiť akýkoľvek súbor. Útočníci to využívajú na vkladanie škodlivých súborov, ktoré sa maskujú ako falošné ikony „kliknite sem“. Kliknutím na falošnú ikonu sa otvorí skrytý súbor, spustí sa škodlivý softvér a útočníci získajú prístup do používateľovho počítača .

Sofistikované skupiny ako Qakbot a IcedID prvýkrát vložili škodlivý softvér do súborov OneNote v januári. „Na ochranu pred najnovšími hrozbami odporúčame používateľom a firmám, aby sa vyhýbali sťahovaniu materiálov z nedôveryhodných stránok, najmä pirátskych. Zamestnanci by si mali dávať pozor na podozrivé interné dokumenty a pred ich otvorením si ich overiť u odosielateľa. Podniky by mali nakonfigurovať zásady e-mailovej brány a bezpečnostné nástroje na blokovanie súborov OneNote z neznámych externých zdrojov,“ vysvetľuje Patrick Schläpfer, analytik malvéru v tíme výskumu hrozieb HP Wolf Security v spoločnosti HP Inc.

Zo správy tiež vyplýva, že s odklonom útočníkov od balíka Office skupiny kybernetického zločinu naďalej diverzifikujú svoje metódy útokov. Na obídenie e-mailovej brány používajú rôzne metódy, od zneužitia škodlivých archívnych súborov až po prepašovanie kódu HTML. Medzi hlavné zistenia patria:

• Skúmanie hrozieb, ktorým spoločnosť HP Wolf Security zabránila v prvom štvrťroku, ukázalo, že archívy boli najpopulárnejším spôsobom doručenia škodlivého softvéru už štvrtý štvrťrok po sebe (42 %).
• V porovnaní so 4. štvrťrokom 2022 bol v 1. štvrťroku  tohto roku zaznamenaný 37-percentný nárast hrozieb zahŕňajúcich vpašovanie kódu HTML.
• Hrozby využívajúce súbory PDF zaznamenali v 1. štvrťroku v porovnaní so 4. štvrťrokom 4-percentný nárast.
• Škodlivý softvér v súboroch Excelu zaznamenal v 1. štvrťroku v porovnaní so 4. štvrťrokom pokles o 6 % (z 19 % na 13 %), pretože je čoraz ťažšie spúšťať makrá v tomto formáte.
• 14 % e-mailových hrozieb identifikovaných programom HP Sure Click obišlo v 1. štvrťroku 2023 jeden alebo viac skenerov e-mailových brán.
• Najčastejším vektorom hrozieb v 1. štvrťroku bol e-mail (80 %), po ktorom nasledovalo sťahovanie z prehliadača (13 %).

„Na ochranu pred čoraz rozmanitejším spektrom útokov musia podniky dodržiavať politiku nulovej dôveryhodnosti, izolovať a obmedziť rizikové činnosti, ako je otváranie e-mailových príloh, klikanie na odkazy alebo sťahovanie súborov prostredníctvom prehliadača. Tým sa výrazne zníži priestor pre útoky a riziko narušenia bezpečnosti,“ poznamenáva Dr. Ian Pratt, riaditeľ oddelenia bezpečnosti osobných systémov v spoločnosti HP Inc.