เป็นครั้งแรกในรอบสามปีที่ไฟล์ Microsoft Office ไม่ใช่ประเภทไฟล์ทั่วไปสำหรับการเผยแพร่มัลแวร์อีกต่อไป นั่นเป็นไปตามรายงาน HP Wolf Security Threat Insights ล่าสุด (เปิดในแท็บใหม่) สำหรับไตรมาสที่ 2022 ปี XNUMX
ด้วยการวิเคราะห์ข้อมูลจาก "จุดสิ้นสุดนับล้าน" ที่รันโซลูชันความปลอดภัยทางไซเบอร์ HP สรุปว่าไฟล์เก็บถาวร (ไฟล์ .ZIP และ .RAR เป็นต้น) กำลังแซงหน้าไฟล์ Office และกลายเป็นวิธีกระจายมัลแวร์ที่พบบ่อยที่สุด
ในความเป็นจริง 44% ของมัลแวร์ทั้งหมดที่เปิดตัวในไตรมาสที่ 2022 ปี 11 ใช้รูปแบบนี้ ซึ่งเพิ่มขึ้น 32% จากไตรมาสที่ XNUMX ในทางกลับกัน ไฟล์ Office คิดเป็น XNUMX% ของการกระจายมัลแวร์ทั้งหมด
หลบเลี่ยงการป้องกัน
เอชพียังค้นพบว่าไฟล์บีบอัดมักถูกรวมเข้ากับเทคนิคการลักลอบใช้ HTML ซึ่งอาชญากรไซเบอร์จะฝังไฟล์บีบอัดที่เป็นอันตรายไว้ในไฟล์ HTML เพื่อหลีกเลี่ยงการตรวจพบโดยโซลูชันการรักษาความปลอดภัยของอีเมล
"ไฟล์เหล่านี้เข้ารหัสได้ง่าย ช่วยให้แฮ็กเกอร์ซ่อนมัลแวร์และหลบเลี่ยงเว็บพร็อกซี แซนด์บ็อกซ์ หรือโปรแกรมสแกนอีเมล" อเล็กซ์ ฮอลแลนด์ นักวิเคราะห์มัลแวร์อาวุโสจากทีม HP Wolf Security Threat Research กล่าว
"สิ่งนี้ทำให้การโจมตีตรวจจับได้ยาก โดยเฉพาะอย่างยิ่งเมื่อรวมกับเทคนิคการลักลอบใช้ HTML"
ฮอลแลนด์ใช้แคมเปญ QakBot และ IceID ล่าสุดเป็นตัวอย่าง ในแคมเปญเหล่านี้ มีการใช้ไฟล์ HTML เพื่อนำเหยื่อไปยังโปรแกรมดูเอกสารออนไลน์ปลอม โดยเหยื่อสามารถเปิดไฟล์ .ZIP และปลดล็อกด้วยรหัสผ่าน สิ่งนี้จะทำให้เทอร์มินัลของคุณติดมัลแวร์
"สิ่งที่น่าสนใจเกี่ยวกับแคมเปญ QakBot และ IceID คือความพยายามในการสร้างเพจปลอม แคมเปญเหล่านี้มีความน่าเชื่อถือมากกว่าที่เราเคยเห็นมาก่อน ทำให้ผู้คนรู้ว่าไฟล์ใดที่สามารถเชื่อถือได้และเชื่อถือไม่ได้ได้ยากขึ้น "ฮอลแลนด์กล่าวเสริม
เอชพียังกล่าวด้วยว่าอาชญากรไซเบอร์ได้พัฒนากลยุทธ์ของตนเพื่อดำเนินการ "แคมเปญที่ซับซ้อน" ด้วยห่วงโซ่การติดเชื้อแบบโมดูลาร์
ซึ่งช่วยให้พวกเขาเปลี่ยนประเภทของมัลแวร์ที่ส่งมาระหว่างแคมเปญได้ ขึ้นอยู่กับสถานการณ์ ผู้ฉ้อโกงอาจส่งสปายแวร์ แรนซัมแวร์ หรือผู้ขโมยข้อมูล ทั้งหมดนี้ใช้กลวิธีการติดไวรัสแบบเดียวกัน
จากข้อมูลของนักวิจัย วิธีที่ดีที่สุดในการป้องกันการโจมตีเหล่านี้คือการนำวิธีการรักษาความปลอดภัยแบบ Zero Trust มาใช้
“ตามหลักการ Zero Trust ของการแบ่งแยกแบบบาง องค์กรสามารถใช้ microvirtualization เพื่อให้แน่ใจว่างานที่อาจเป็นอันตราย เช่น การคลิกลิงก์หรือเปิดไฟล์แนบที่เป็นอันตราย จะดำเนินการบนเครื่องเสมือนแบบใช้แล้วทิ้งที่แยกต่างหาก ระบบพื้นฐาน” ดร. เอียน แพรตต์ หัวหน้าระดับโลกฝ่ายความปลอดภัยระบบส่วนบุคคลของเอชพีกล่าว
"กระบวนการนี้ทำให้ผู้ใช้มองไม่เห็นอย่างสมบูรณ์และดักจับมัลแวร์ที่ซ่อนอยู่ภายใน เพื่อให้แน่ใจว่าผู้โจมตีไม่สามารถเข้าถึงข้อมูลที่ละเอียดอ่อนได้ และป้องกันพวกเขาจากการเข้าถึงและย้ายออกไปด้านข้าง"
