För första gången på tre år är Microsoft Office-filer inte längre den vanligaste filtypen för distribution av skadlig programvara. Det är enligt den senaste rapporten från HP Wolf Security Threat Insights (öppnas i en ny flik) för tredje kvartalet 2022.
Genom att analysera data från "miljontals slutpunkter" som kör sin cybersäkerhetslösning, drog HP slutsatsen att arkivfiler (.ZIP- och .RAR-filer, till exempel) går om Office-filer för att bli det vanligaste sättet att distribuera skadlig programvara.
Faktum är att 44 % av all skadlig programvara som släpptes under Q2022 11 använde detta format, en ökning med 32 % från QXNUMX. Office-filer, å andra sidan, stod för XNUMX % av alla distributioner av skadlig programvara.
undvika skydd
HP upptäckte också att de komprimerade filerna vanligtvis kombinerades med en HTML-smugglingsteknik, där cyberbrottslingar bäddade in skadliga komprimerade filer i HTML-filer för att undvika upptäckt av e-postsäkerhetslösningar.
"Filerna är lätta att kryptera och hjälper hackare att dölja skadlig programvara och undvika webbproxies, sandlådor eller e-postskannrar", säger Alex Holland, senior malwareanalytiker på HP Wolf Security Threat Research-teamet.
"Detta gör attackerna svåra att upptäcka, särskilt när de kombineras med HTML-smugglingstekniker."
Holland använde de senaste QakBot- och IceID-kampanjerna som exempel. I dessa kampanjer användes HTML-filer för att dirigera offer till falska onlinedokumentvisare, där offren uppmuntrades att öppna en .ZIP-fil och låsa upp den med ett lösenord. Detta skulle infektera dina terminaler med skadlig programvara.
"Det som var intressant med QakBot- och IceID-kampanjerna var arbetet med att skapa de falska sidorna – dessa kampanjer var mer övertygande än någon annan vi sett tidigare, vilket gjorde det svårare för människor att veta vilka filer de kan och inte kan lita på ", tillade Hollande.
HP sa också att cyberbrottslingar har utvecklat sin taktik för att köra "komplexa kampanjer" med en modulär infektionskedja.
Detta gör att de kan ändra typen av skadlig programvara som levereras mitt i kampanjen, beroende på situationen. Bedragare kan leverera spionprogram, ransomware eller informationsstöldare, alla med samma infektionstaktik.
Enligt forskarna är det bästa sättet att skydda sig mot dessa attacker att anta en Zero Trust-säkerhetsstrategi.
"I enlighet med Zero Trust-principen om tunn isolering kan organisationer använda mikrovirtualisering för att säkerställa att potentiellt skadliga uppgifter, som att klicka på länkar eller öppna skadliga bilagor, utförs på en separat virtuell engångsmaskin. underliggande system”, säger Dr. Ian Pratt, HP:s globala chef för personliga systemsäkerhet.
"Denna process är helt osynlig för användaren och fångar all skadlig kod som är gömd inom, vilket säkerställer att angripare inte kan komma åt känslig data och förhindrar dem från att få åtkomst och flytta i sidled."
