Статьи — Legion Box

Опасность прячется на сайте: злоумышленники внедряют вредоносное ПО в изображения на веб-сайтах

ПАЛО-АЛЬТО, Калифорния, 16 января 2025 г. — Сегодня компания HP Inc. (NYSE: HPQ) опубликовала свой последний отчет, в котором осветила вопрос применения злоумышленниками набора вредоносных программ и GenAI ― генеративного искусственного интеллекта для синтезирования текста, изображений и создания комбинированного контента, для повышения эффективности своих кибератак. Такие инструменты сокращают время и упрощают навыки, необходимые для создания компонентов атаки, позволяя злоумышленникам использовать множество методов обхода для обнаружения и обмана жертв, с целью внедрения вредоносного кода в изображения.

В отчете компании представлен анализ реальных кибератак, что поможет организациям быть в курсе новейших методов, которые киберпреступники используют для обхода обнаружения и взлома ПК в быстро меняющемся ландшафте киберпреступности. На основе данных с миллионов конечных пользователей, которых работают с HP Wolf Security ― интегрированное решение комплексной защиты конечных устройств и сервисов для обеспечения безопасности и защиты клиентов в эпоху роста киберпреступности, исследователи угроз HP выявили следующие примечательные кампании:

• Наборы вредоносных программ по номерам: исследователи угроз HP наблюдали крупные кампании по распространению вредоносных программ VIP Keylogger и 0bj3ctivityStealer, которые используют одни и те же методы и загрузчики, что предполагает использование наборов вредоносных программ для доставки сторонних нагрузок. В обеих кампаниях злоумышленники скрывали один и тот же вредоносный код в изображениях на веб-сайтах хостинга файлов, таких как archive.org, а также использовали один и тот же загрузчик для установки окончательной нагрузки. Такие методы помогают злоумышленникам обходить обнаружение, поскольку файлы изображений кажутся безвредными при загрузке с известных веб-сайтов, обходя сетевую безопасность, такую как веб-прокси, которые полагаются на репутацию.
• GenAI помогает создавать вредоносные HTML-документы: Исследователи также выявили кампанию трояна удаленного доступа XWorm (RAT), инициированную контрабандой HTML, которая содержала вредоносный код, загружающий и запускающий вредоносное ПО. Примечательно, что подобно кампании AsyncRAT, проанализированной в предыдущем квартале, загрузчик имел отличительные признаки, указывающие на то, что он мог быть написан с помощью GenAI, например, включая построчное описание и дизайн HTML-страницы.
• Читеры постоянно под ударом: злоумышленники взламывают инструменты для читов видеоигр и репозитории модификаций, размещенные на GitHub, добавляя исполняемые файлы, содержащие вредоносное ПО Lumma Stealer. Этот инфокрад крадет пароли жертв, криптокошельки и информацию браузера. Пользователи часто отключают инструменты безопасности, чтобы загрузить и использовать читы, подвергая себя большему риску заражения без применения технологии изоляции.

Алекс Холланд, главный исследователь угроз в HP Security Lab, комментирует:

«Проанализированные кампании предоставляют дополнительные доказательства коммерциализации киберпреступности. Поскольку наборы вредоносных программ стали более общедоступными, недорогими и простыми в использовании, даже новички с ограниченными навыками и знаниями могут составить эффективную цепочку заражения. Добавьте GenAI в смесь для написания скриптов, и барьеры для входа станут еще ниже. Это позволяет группам сосредоточиться на обмане своих целей и выборе лучшей полезной нагрузки для работы — например, нацеливая геймеров с помощью вредоносных репозиториев читов».

Изолируя угрозы, которые обошли средства обнаружения на ПК, — но при этом позволяя вредоносному ПО безопасно детонировать, — HP Wolf Security имеет особое представление о новейших методах, используемых киберпреступниками. На сегодняшний день клиенты HP Wolf Security просматривали более 65 миллиардов вложений электронной почты, веб-страниц и загруженных файлов без каких-либо сообщений об утечках.

В отчете, в котором анализируются данные за третий квартал 2024 года, подробно описывается, как киберпреступники продолжают разнообразить методы атак, чтобы обойти инструменты безопасности, основанные на обнаружении, такие как:

• По меньшей мере 11% угроз электронной почты, выявленных с помощью HP Sure Click, обошли один или несколько сканеров шлюзов электронной почты.
• Самым популярным типом доставки вредоносного ПО были исполняемые файлы (40%), за которыми следовали архивные файлы (34%).
• Заметный рост числа файлов .lzh, которые составили 11% проанализированных архивных файлов, при этом большинство вредоносных архивных файлов .lzh были нацелены на японоговорящих пользователей.

Доктор Ян Пратт, глобальный руководитель отдела безопасности персональных систем в HP Inc., комментирует:

«Киберпреступники быстро увеличивают разнообразие, объем и скорость своих атак. Если вредоносный документ Excel заблокирован, архивный файл в следующей атаке может проскользнуть через сеть. Вместо того чтобы пытаться обнаружить быстро меняющиеся методы заражения, организациям следует сосредоточиться на сокращении поверхности атаки. Это означает изоляцию и сдерживание рискованных действий, таких как открытие вложений электронной почты, нажатие ссылок и загрузка браузера, чтобы снизить вероятность взлома».

HP Wolf Security выполняет рискованные задачи на изолированных виртуальных машинах для защиты конечных пользователей, не влияя на их производительность, фиксируя подробные следы всех попыток заражения. Технология изоляции приложений HP смягчает угрозы, которые могут ускользнуть от других инструментов безопасности, и предоставляет уникальные сведения о методах вторжения и поведении субъектов угроз.

О данных

Все данные для данного отчета были получены от согласившихся клиентов HP Wolf Security в период с июля по сентябрь 2024 года.

О HP Wolf Security

HP Wolf Security — это защита конечных точек мирового класса. Портфель аппаратно-усиленной безопасности и услуг безопасности, ориентированных на конечные точки, от HP призван помочь организациям защитить ПК, принтеры и людей от киберпреступников. HP Wolf Security обеспечивает комплексную защиту и отказоустойчивость конечных точек, которая начинается на уровне оборудования и распространяется на программное обеспечение и услуги.