Hlavní navigace

HP: Kyberzločinci k útokům stále častěji využívají Excel

31. 1. 2022
Doba čtení: 2 minuty

Sdílet

 Autor: (c) Gorodenkoff - Fotolia.com
Techniky skrytého útoku a stále častější malwarové útoky prostřednictvím aplikace Excel umožňují gangům útočícím ransomwarem zasáhnout stále více obětí.

Společnost HP zveřejnila zprávu HP Wolf Security Threat Insights Report, z níž vyplývá, že k šíření malwaru jsou stále častěji zneužívány doplňky aplikace Microsoft Excel.

Tyto soubory podle analytiků umožňují útočníkům ovládnout cílová zařízení a vystavují firmy i jednotlivce nebezpečí krádeže dat a ničivých ransomwarových útoků.

Ve srovnání s minulým čtvrtletím dle HP došlo k obrovskému, téměř šestinásobnému nárůstu (+588 %) počtu útoků, využívajících k napadení systému infikované soubory doplňku aplikace Microsoft Excel (.xll).

HP upozorňuje, že tato technika se ukázala jako obzvláště nebezpečná, protože ke spuštění malwaru stačí jediné kliknutí. Tým také na nelegálních tržištích na darknetu nalezl reklamy na droppery .xll a sady pro tvorbu malwaru, které umožňují i nezkušeným útočníkům snadno zahájit útočnou kampaň. 

Obezřetnost je na místě

Společnost v tomto kontextu dodává, že nedávná spamová kampaň QakBot navíc používala k oklamání adresátů soubory aplikace Excel. Útočníci přitom prostřednictvím napadených e-mailových účtů vstupovali do probíhající konverzace.

V odpovědi pak zasílali v příloze infikovaný soubor pro aplikaci Excel (.xlsb). QakBot se po proniknutí do systému maskuje jako legitimní proces systému Windows, aby se tím vyhnul odhalení.

Napadené excelové soubory (.xls) byly použity také k šíření bankovního trojského koně Ursnif mezi italskými firmami a organizacemi veřejného sektoru prostřednictvím škodlivé spamové kampaně, přičemž útočníci se vydávali za italskou kurýrní službu BRT.

Nové kampaně šířící malware Emotet nyní podle zprávy společnosti HP používají místo souborů JavaScript nebo Word také soubory ve formátu Excel.

Zneužívání legitimních funkcí softwaru ke skrytí před detekčními nástroji je běžnou taktikou útočníků, stejně jako používání neobvyklých typů souborů, které mohou bez povšimnutí projít přes e-mailové brány,“ upozorňuje Alex Holland z divize HP Wolf Security.

Na základě nárůstu výskytu škodlivých souborů .xll doporučuje správcům sítě nakonfigurovat e-mailové brány tak, aby blokovaly příchozí přílohy .xll, propouštěly pouze doplňky podepsané důvěryhodnými partnery nebo zcela zakázaly doplňky aplikace Excel.

Malware přejde i přes skenovací programy

Bezpečnostní analytici dále zjistili, že 13 % izolovaného e-mailového malwaru obešlo alespoň jeden skenovací program e-mailové brány. Ve snaze o infikování firemních počítačů bylo použito 136 různých přípon souborů.

Z průzkumů rovněž vyplynulo, že 77 % zjištěného škodlivého softwaru bylo doručeno e-mailem, 13 % připadá na stahování z webu. Nejčastějšími přílohami, používanými k doručení malwaru, byly dokumenty (29 %), archivy (28 %), spustitelné soubory (21 %) a tabulky (20 %).

CS24

Nejčastější phishingové návnady se objevovaly v souvislosti s Novým rokem nebo s obchodními transakcemi, např. „Objednávka“, „2021/2022“, „Platba“, „Nákup“, „Žádost“ a „Faktura“.

Zdroj: HP

Čtěte dále

Pronikněte do světa investic s podporou spolehlivého partnera
Pronikněte do světa investic s podporou spolehlivého partnera
Sophos: Každý třetí útok ransomwaru na české firmy začíná zneužitím zranitelnosti
Sophos: Každý třetí útok ransomwaru na české firmy začíná zneužitím zranitelnosti
Anketa ChannelWorldu o monitorech: Odpovídá Radek Pospíšil (Sharp/NEC)
Anketa ChannelWorldu o monitorech: Odpovídá Radek Pospíšil (Sharp/NEC)
IDC: Trend na vzestupu, dodávky použitých chytrých telefonů rostou
IDC: Trend na vzestupu, dodávky použitých chytrých telefonů rostou
Andrea Hepnerová řídí SAP divizi v Ness Czech
Andrea Hepnerová řídí SAP divizi v Ness Czech
Aikit: Průmyslovou automatizaci brzdí náklady a absence znalostí
Aikit: Průmyslovou automatizaci brzdí náklady a absence znalostí