Хакерите не стоят на едно място – често променят тактиките си, за да поднасят своите неприятни изненади на потенциалните жертви (снимка: CC0 Public Domain)
Хакерските техники постоянно се променят. Скоро след като дадена схема стане известна на жертвите и киберзащитата, хакерите измислят нови “номера” за успешни пробиви.
Специалисти от Центъра за киберсигурност на F.A.C.C.T. анализираха фишинг имейли, които са прихванати и неутрализирани от XDR системи през третото тримесечие на тази година, за да идентифицират нови тенденции.
Прикачени файлове вместо връзки
Тази година хакерите почти напълно изоставиха използването на връзки във фишинг имейлите в полза на заразени с вируси прикачени файлове. Така например, крадецът Formbook е заел първо място във фишинг имейлите – делът му е нараснал четири пъти. AgentTesla, който преди това заемаше водеща позиция, отива на трето място, а второто е за малко известния зловреден софтуер DarkGate.
Киберпрестъпниците на практика са спрели да използват връзки за доставяне на злонамерен софтуер – делът на фишинг имейлите с прикачени файлове се е увеличил от 97,3% през второто тримесечие до 99,1% през третото тримесечие на тази година.
Според анализаторите, тенденцията се дължи на факта, че техниката с линкове за доставка на злонамерен софтуер не оправдава разходите за масово изпращане. Основната задача на атакуващия е да мотивира потенциален потребител-жертва да кликне върху връзка в имейл, което може да причини редица проблеми. Но служителите на отделите за информационна сигурност (IS) са информирали всички за този метод на кибератака от няколко години.
Прикаченият файл към имейл е по-малко вероятно да предизвика подозрение, от което се опитват да се възползват хакерите. Тук работи обичайният метод в човешката психология: докато специалистите по информационна сигурност или служителите на ИТ отдели казват, че не трябва да кликвате върху връзки, те пропускат да предупредят за опасносното изтегляне или отваряне на файл, поне за бърз преглед. Или ако ИТ отделът предупреди за опасността от файлове във формат .jpg, той не казва нищо за формат .xls.
Опасните файлови разширения
В 82% от злонамерените имейли получателите ще видят архив като прикачен файл. В шест от десет случая това ще бъдат .zip и .rar, като се използват и редица други формати като .7z, .z, ..gz.
Също така офис документите с разширения .pdf и .docx продължават да се използват като разпространители на вируси, чийто дял в пощата се увеличава леко спрямо предходното тримесечие – до 8,8% (+2,4%).
Изследователите на сигурността забелязват, че хакерите променят тактиката си и изоставят електронни таблици на Excel (с разширение .xls) в полза на .pdf и .docx за опаковане на зловреден софтуер.
Шпиони и крадци
Нападателите продължават да експериментират не само с доставката на фишинг имейли, но и с тяхното съдържание. През последните няколко години, включително първата половина на 2024 г., лидер сред зловредния софтуер е AgentTesla. Този модулен шпионски софтуер е открит поне във всеки втори злонамерен имейл. През третото тримесечие делът на AgentTesla във фишинг имейлите е намалял четири пъти – от 56,1% на 13,4%.
Лидерът е Formbook Formgrabber, ИТ инструмент за кражба на акаунти и лични данни. Модулен злонамерен софтуер с широка функционалност се разпространява под формата на DarkGate loader: крадец, инструмент за дистанционно управление и, в зависимост от апетитите и наглостта на атакуващите хакери, дори крипто-миньор е вграден в този софтуер.
Делът на Formbook, който преди беше сред Топ 3 на заплахите, се увеличи почти четири пъти – до 40%. Програмата за изтегляне на DarkGate беше открита от компанията за киберразузнаване F.A.C.C.T. миналата година, а през третото тримесечие на тази година делът ѝ достигна 15%.
Специалистите по киберсигурност свързват резкия спад в дела на AgentTesla в пощенските съобщения с ликвидирането на инфраструктурата на този зловреден софтуер през лятото на 2023 г. Много хакери избраха изпитания във времето крадец Formbook като заместител на AgentTesla
Анализирайки функционалността на зловредния софтуер, експертите посочват като най-популярен тип в момента шпионският софтуер, фамилии от който се разпространяват според модела “малуер като услуга” (MaaS).
В същото време има лек спад в дела на злонамерените писма с шпиони и двойно увеличение на дела на изтеглящите модули, които могат да инсталират друг зловреден софтуер на устройството на потребителя. Задните врати като основен злонамерен софтуер са по-рядко срещани – техният дял е 8%.
Честота и домейни
Разпространението на фишинг имейл през третото тримесечие се извършва най-често в средата на работната седмица (сряда, 22%), докато през второто тримесечие на тази година водещ беше четвъртък. Постоянно висок брой фишинг имейли – повече от 20% – се изпращат в понеделник и вторник, като най-малко количество е регистрирано в неделя – само 1%.
Експертите по информационна сигурност отчитат намаляване на дела на изпращанията от безплатни пощенски услуги, което се наблюдава от началото на тази година. Повече от 97% от имейлите, съдържащи зловреден софтуер, са изпратени от отделни домейни. За тези кибер операции хакерите използват както специално създадени домейни, така и компрометирани пощенски кутии и домейни. Най-често в този контекст имената на домейни са в зоните .com (64%), .net (3%), национални домейни, а също .jp и .org.
Често хакерите използват спуфинг – това е схема, при която нападателят се маскира като друго лице, компания или обект, за да спечели доверието на потребителя, а обикновено основната цел е да получи достъп до ИТ системи, да открадне данни или пари, или да разпространява зловреден софтуер.
Атака с фалшиви фактури
Хакерите са започнали да използват API, за да изпращат фалшиви фактури, които изглеждат истински. Голямата американска компания DocuSign вече се оказа в центъра на нов тип кибератака. Тя предоставя услуга, която позволява да изтегляте, изпращате за подпис, преглеждате, подписвате и проследявате състоянието на различни електронни документи.
Престъпниците създават платени акаунти в DocuSign, където създават шаблони, които имитират фактури от добре известни марки като Norton Antivirus. Фактурите включват надеждни данни и често допълнителни такси, като например $50 „такса за активиране”, което прави фалшификатите още по-правдоподобни.
Подписвайки такъв акаунт, потребителят по същество дава разрешение за плащане, което престъпниците могат да използват, за да прехвърлят пари в своите сметки. Тези фактури са трудни за проследяване – те идват директно през платформата DocuSign без злонамерени връзки или прикачени файлове, така че имейл филтрите ги пропускат.
В момента тази схема бързо набира популярност в киберпрестъпленията, като нападателите успешно вграждат своите операции в защитени ИТ платформи, което ги прави трудни за откриване.