Μια νέα έκθεση της HP Wolf Security δείχνει ότι οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν όλο και πιο πολύ έγγραφα PDF για να διανείμουν malware, συμπεριλαμβανομένων των WikiLoader, Ursnif και DarkGate.
Η εταιρεία παρατήρησε αύξηση 7% στις απειλές PDF κατά το 4ο τρίμηνο του 2023, σε σύγκριση με το πρώτο τρίμηνο του ίδιου έτους. Παλιότερα, χρησιμοποιούνταν δολώματα PDF για την κλοπή credentials και οικονομικών στοιχείων από τα θύματα μέσω phishing. Τώρα, όμως, οι κυβερνοεγκληματίες τα χρησιμοποιούν για τη διανομή malware.
Με βάση την ανάλυση της εταιρείας κατά το 4ο τρίμηνο του 2023, το 11% των επιθέσεων χρησιμοποίησε αρχεία PDF ως μέθοδο παράδοσης malware.
Δείτε επίσης: SNS Sender Malware διανέμει Phishing SMS μέσω της Amazon
Για παράδειγμα, phishing emails για την υποτιθέμενη παράδοση δεμάτων, περιείχαν PDF για να εγκαταστήσουν το Ursnif malware.
Χρήση εργαλείων διαφήμισης
Επιπλέον, η HP εντόπισε μια καμπάνια διανομής του DarkGate malware που χρησιμοποίησε εργαλεία διαφημίσεων για την παρακολούθηση των θυμάτων και την αποφυγή εντοπισμού.
Κακόβουλα συνημμένα PDF, που παρουσιάζονται ως μηνύματα σφάλματος του OneDrive, κατευθύνουν τους χρήστες σε sponsored περιεχόμενο που φιλοξενείται σε ένα δημοφιλές δίκτυο διαφημίσεων. Προτρέπουν τον στόχο να κάνει κλικ σε έναν σύνδεσμο για να διαβάσει το έγγραφο που του έχουν υποσχεθεί. Ωστόσο, με αυτόν τον τρόπο κατεβάζει αρχεία που περιέχουν το κακόβουλο λογισμικό DarkGate.
Σύμφωνα με τους ερευνητές, πολλοί άνθρωποι χρησιμοποιούν προγράμματα περιήγησης ιστού για να διαβάσουν έγγραφα PDF και έτσι αυτό το δέλεαρ έχει γίνει πολύ πειστικό και αποτελεσματικό για τη διανομή malware.
Οι υπηρεσίες διαφημίσεων χρησιμοποιούνται για να αναλύσουν ποια δολώματα είναι πιο αποτελεσματικά και μολύνουν τους περισσότερους χρήστες, κάτι που τους βοηθά να βελτιώσουν τις καμπάνιες τους.
Δείτε επίσης: Τα “TicTacToe Dropper” χρησιμοποιούνται για τη διανομή malware
Ο Δρ Ian Pratt, Επικεφαλής Ασφάλειας για Προσωπικά Συστήματα της HP Inc., σχολίασε: “Οι εγκληματίες του κυβερνοχώρου εφαρμόζουν τα ίδια εργαλεία που μπορεί να χρησιμοποιήσει μια επιχείρηση για να διαχειριστεί μια καμπάνια μάρκετινγκ. Αυτοί τα χρησιμοποιούν για να βελτιστοποιήσουν τις καμπάνιες κακόβουλου λογισμικού”.
Οι επιτιθέμενοι παρακάμπτουν μέτρα ασφαλείας
Οι εγκληματίες του κυβερνοχώρου εξελίσσουν συνεχώς τις μεθόδους επίθεσης για να αποφύγουν τον εντοπισμό και να παρακάμψουν λύσεις ασφαλείας.
Ο πιο δημοφιλής τύπος παράδοσης κακόβουλου λογισμικού ήταν τα αρχεία, που χρησιμοποιήθηκαν στο 30% των περιστατικών που αναλύθηκαν από την HP. Τα πιο συνηθισμένα είναι τα RAR, ZIP και GZ. Αλλά όπως προείπαμε, σημαντική αύξηση παρατηρήθηκε και στα PDF για τη διανομή malware.
Δείτε επίσης: Το PikaBot malware επανεμφανίζεται με βελτιωμένες τακτικές
Οι κορυφαίοι φορείς απειλών το τρίτο τρίμηνο ήταν το email (75%), οι λήψεις από προγράμματα περιήγησης (13%) και άλλα μέσα όπως μονάδες USB (12%).
Ποιες είναι οι προτεινόμενες στρατηγικές αντιμετώπισης αυτών των απειλών;
Ένας αποτελεσματικός τρόπος αντιμετώπισης αυτών των απειλών είναι η ενημέρωση και εκπαίδευση των χρηστών για τους κινδύνους που συνεπάγονται οι malware επιθέσεις μέσω PDF και άλλων αρχείων. Οι χρήστες πρέπει να γνωρίζουν τις τεχνικές που χρησιμοποιούν οι επιτιθέμενοι, όπως το phishing, και να είναι προσεκτικοί με τα αρχεία που λαμβάνουν από άγνωστες πηγές.
Επίσης, η χρήση ενημερωμένου λογισμικού ασφαλείας είναι απαραίτητη. Τα προγράμματα anti-malware λογισμικού και οι τεχνολογίες ανίχνευσης εισβολών μπορούν να βοηθήσουν στην αναγνώριση και την αποτροπή των επιθέσεων.
Τέλος, η υιοθέτηση μιας πολιτικής ελάχιστων δικαιωμάτων, όπου οι χρήστες έχουν μόνο τα απαραίτητα δικαιώματα για την εκτέλεση των απαραίτητων εργασιών τους, μπορεί να περιορίσει την έκταση της ζημιάς που μπορεί να προκαλέσει μια επίθεση.
Πηγή: www.infosecurity-magazine.com