För första gången på tre år är Microsoft Office-filer inte längre den vanligaste filtypen för distribution av skadlig programvara. Det är enligt den senaste rapporten från HP Wolf Security Threat Insights (öppnas i en ny flik) för tredje kvartalet 2022.
Genom att analysera data från "miljontals slutpunkter" som kör sin cybersäkerhetslösning, drog HP slutsatsen att arkivfiler (.ZIP- och .RAR-arkiv, till exempel) går om Office-filer för att bli de vanligaste att distribuera skadlig programvara.
Faktum är att 44 % av all skadlig programvara som släpptes under Q2022 11 använde detta format, en ökning med 32 % från QXNUMX. Office-filer, å andra sidan, stod för XNUMX % av alla distributioner av skadlig programvara.
undvika skydd
HP upptäckte också att de komprimerade filerna vanligtvis kombinerades med en HTML-smugglingsteknik, där cyberbrottslingar bäddade in skadliga komprimerade filer i HTML-filer för att undvika upptäckt av e-postsäkerhetslösningar.
"Filerna är lätta att kryptera, vilket hjälper hackare att dölja skadlig programvara och undvika webbproxies, sandlådor eller e-postskannrar", säger Alex Holland, senior malwareanalytiker på HP Wolf Security Threat Research-teamet.
"Detta gör attacker svåra att upptäcka, särskilt när de kombineras med HTML-smugglingstekniker."
Holland använde de senaste QakBot- och IceID-kampanjerna som exempel. I dessa kampanjer användes HTML-filer för att dirigera offer till falska onlinedokumentvisare, där offren uppmuntrades att öppna en .ZIP-fil och låsa upp den med ett lösenord. Detta skulle infektera dina terminaler med skadlig programvara.
"Det som var intressant med QakBot- och IceID-kampanjerna var arbetet med att skapa de falska sidorna: dessa kampanjer var mer övertygande än de vi har sett tidigare, vilket gjorde det svårt för människor att veta vilka filer de kan lita på och inte kan lita på", säger Hollande. Lagt till.
HP sa också att cyberkriminella har utvecklat sin taktik för att utveckla "komplexa kampanjer" med en modulär infektionskedja.
Detta gör att de kan ändra typen av skadlig programvara som levereras mitt i kampanjen, beroende på situationen. Bedragare kan leverera spionprogram, ransomware eller informationsstöldare, alla med samma infektionstaktik.
Enligt forskarna är det bästa sättet att skydda sig mot dessa attacker att anta en Zero Trust-säkerhetsstrategi.
"I enlighet med Zero Trust-principen om tunn isolering kan organisationer använda mikrovirtualisering för att säkerställa att potentiellt skadliga uppgifter, som att klicka på länkar eller öppna skadliga bilagor, utförs på en separat virtuell engångsmaskin på underliggande system", säger Dr. Ian Pratt. , HP Global Head of Personal Systems Security.
"Denna process är helt osynlig för användaren och fångar all malware gömd inuti, vilket säkerställer att angripare inte kan komma åt känslig data och förhindrar dem från att få åtkomst och flytta i sidled."