Budite veoma oprezni kad nameravate da kliknete, recimo, na vezu, jer sajber-kriminalci kriju zlonamerni softver da korisnici ne bi ništa posumnjali i da bi antivirusnom softveru otežali otkrivanje.
Trenutno, sajber-kriminalci mnogo više koriste ZIP i RAR datoteke nego Office dokumente da bi isporučivali zlonamerne softvere. Podaci koji takav postupak potvrđuju dobijeni su analizom sajber-napada u svetu i podacima prikupljenim sa miliona računara.
Istraživanje, zasnovano na podacima o korisnicima, kojeg je obavila kompanija HP Wolf Security, pokazalo je da je u periodu između jula i septembra ove godine, 42 procenata pokušaja da se izvrši napad zlonamernim softverom koristilo formate arhivskih datoteka, uključujući ZIP i RAR.
To znači da su sajber-napadi koji pokušavaju da iskoriste ZIP i RAR formate češći od onih koji pokušavaju da isporuče zlonamerni softver koristeći Microsoft Office dokumente, kao što su Microsoft Word i Microsoft Excel datoteke, koji su dugo bili omiljeni metod namamljivanja žrtava da preuzmu zlonamerni softver.
Prema tvrđenju istraživača, to je prvi put u više od tri godine da su arhivske datoteke nadmašile Microsoft Office datoteke kao najčešće sredstvo za isporuku zlonamernog softvera.
Napadači šifruju zlonamerni softver i sakrivaju ga u arhivskim datotekama, što im omogućava i olakšava da zaobiđu mnoge bezbednosne zaštite.
Arhivski tipovi datoteka se lako šifruju, što omogućava napadačima da sakriju zlonamerni softver i izbegnu mrežne proksije, snadbox-ove ili skenere e-pošte. To otežava otkrivanje napada, posebno kada se kombinuje sa tehnikama zlonamernih HTML datoteka, kažu stručnjaci.
U mnogim slučajevima, napadači prave phishing e-poruke koje izgledaju kao da dolaze od poznatih kompanija i dobavljača usluga na mreži i koje pokušavaju da prevare korisnika da otvori i pokrene zlonamernu ZIP ili RAR datoteku.
Taj proces obuhvata korišćenje zlonamernih HTML datoteka u e-porukama koje se maskiraju kao PDF dokumenti. Kada ih pokrenete, prikazuje se lažni pregledač dokumenata na mreži koji dekodira ZIP arhivu. Ako ga korisnik preuzme, računar će sigurno biti zaražen zlonamernim softverom.
Prema analizi kompanije HP Wolf Security, jedan od najozloglašenijih napada zlonamernog softvera koji se sada oslanja na ZIP arhive i zlonamerne HTML datoteke je Qakbot, koji obuhvata porodicu zlonamernih softvera koji se ne koriste samo za krađu podataka, već i kao zadnja vrata za primenu zlonamernog softvera kod kojeg se traži otkup.
Qakbot se ponovo pojavio u septembru, sa zlonamernim porukama koje šalje putem e-pošte, u kojima se tvrdi da su povezane sa dokumentima na mreži koje treba otvoriti. Kad se arhiva pokrene, koristi zlonamerne komande za preuzimanje i izvršavanje zlonamernog koda u obliku biblioteke dinamičkih veza, a zatim ga pokreće pomoću legitimnih – ali često zloupotrebljenih – alata u Windows-u.
Ubrzo posle toga, sajber-kriminalci počinju da distribuiraju IcedID – oblik zlonamernog softvera koji je instaliran kako bi se omogućili napadi uz otkup kojima upravljaju ljudi – i koriste šablon skoro identičan onom koji je koristio Qakbot za zloupotrebu arhivskih datoteka kako bi na prevaru naterali žrtve da preuzmu zlonamerne programe.
U oba slučaja, napadači su se potrudili da obezbede da e-poruke i lažne HTML stranice izgledaju legitimno da bi prevarili što je moguće više žrtava.
Najzanimljivije u oba napada je to što je najveći trud uložen u stvaranje lažnih stranica. Stručnjaci tvrde da su oba napada bila ubedljivija od svega što su ranije videli, što je otežavalo korisnicima da odluče kojim datoteka mogu, a kojim ne mogu da veruju.
Stručnjaci su primetili da je jedna grupa koja je tražila otkup takođe zloupotrebljava ZIP i RAR datoteke na isti način. Prema kompaniji HP Wolf Security, napad uz otkup kojeg je sprovodila grupa Magniber ciljao je privatne korisnike, šifrovao datoteke i zahtevao 2.500 dolara od žrtava.
U slučaju grupe Magniber, računar je zaražen onda kada korisnik preuzme ZIP arhivu koja sadrži JavaScript datoteku koja je navodno važan antivirusni program ili Windows 10 ažuriranje sa veb-stranice koju kontroliše napadač i koja traži od korisnika da obavi preuzimanje. Ako se datoteka pokrene i izvrši, ona preuzima i instalira zlonamerni softver.
Pre tog najnovijeg Magniber napada, zlonamerni softver uz otkup se širio preko MSI i EXE datoteka, ali kao i druge grupe sajber-kriminalaca, primetili su da zlonamerni kodovi mogu uspešno da se pošalju kad su sakriveni u arhivskim datotekama.
Sajber-kriminalci neprestano menjaju taktiku napada, ali phishing ostaje jedan od ključnih metoda za isporuku zlonamernog softvera, jer je često teško otkriti da li su e-pošta ili dokumenti legitimni, posebno ako su se već provukli sakrivanjem zlonamernih kodova negde gde antivirusni softver ne može da ih otkrije.
Korisnicima se neprestano savetuje da budu oprezni kad dobiju hitan zahtev za otvaranje veze i preuzimanje priloga, posebno iz neočekivanih ili nepoznatih izvora.