攻击者在发布恶意软件之前,已经越来越多地在档案中对其进行加密。
根据惠普沃尔夫安全公司最新的《2022年Q3威胁洞察报告》,在2022年第三季度,44%的恶意软件是通过归档文件交付的,比上一季度增长11%,大大高于通过Office文件交付的32%。
惠普上周四发布的这份研究文件证实,该团队在第三季度发现了几次将档案文件与新的HTML走私技术(例如,将恶意的档案文件嵌入HTML文件以绕过电子邮件网关)结合起来发动攻击的活动。
Intel 471的恶意软件分析师James Quinn解释道:“在HTML中隐藏恶意文件的技术并不新鲜。例如,Hancitor背后的威胁行动者在2021年使用这种技术隐藏了恶意的Word文档。”
与此同时,Quinn认为惠普描述的HTML文件是使用工具包生成的,因为英特尔471观察到的一些活动使用了几个随机生成的密码来保护ZIP档案。
在一次活动中使用几个不同的密码表明,这些有效载荷的构建过程是自动的,也就是说,构建工具或脚本创建最终的HTML,并可能创建中间有效载荷。
惠普的报告直接提到了QakBot和IceID活动,它们依靠HTML文件将用户引导到伪装成Adobe的虚假在线文档查看器。然后,受害者被提示打开一个ZIP文件,并插入密码来解压文件,这将在他们的电脑上部署恶意软件。
Vulcan Cyber的高级技术工程师迈克·帕金在评论这些新数据时表示,该报告显示了有趣的趋势。
该高管告诉Infosecurity:“威胁行为者(正在)寻找绕过电子邮件网关保护、垃圾邮件过滤器等的新技术,但结果是,他们仍在大量利用针对用户的社交工程来实施攻击。”
帕金补充道:“在这份报告中,近70%的攻击是通过电子邮件进行的,这确实意味着电子邮件防御方面仍有改进的空间,需要识别和阻止最新的绕过技术。不过,归根结底,这些攻击需要用户互动才能成功,所以用户意识和教育仍然至关重要。”
两个月前,WatchGuard发布的研究表明,2022年第二季度加密恶意软件的数量有所增加。
扫一扫
4万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
