Per la prima volta in tre anni, i file di Microsoft Office non sono più il tipo di file più comune per la distribuzione di malware. Questo secondo l'ultimo report di HP Wolf Security Threat Insights (si apre in una nuova scheda) per il terzo trimestre del 2022.
Analizzando i dati di "milioni di endpoint" che eseguono la sua soluzione di sicurezza informatica, HP ha concluso che i file di archivio (file .ZIP e .RAR, ad esempio) stanno superando i file di Office per diventare il modo più comune per distribuire malware.
Infatti, il 44% di tutto il malware rilasciato nel terzo trimestre del 2022 ha utilizzato questo formato, con un aumento dell'11% rispetto al secondo trimestre. I file di Office, invece, rappresentano il 32% di tutte le distribuzioni di malware.
sottrarsi alle protezioni
HP ha anche scoperto che i file compressi erano comunemente combinati con una tecnica di contrabbando HTML, in cui i criminali informatici incorporavano file compressi dannosi in file HTML per evitare il rilevamento da parte delle soluzioni di sicurezza della posta elettronica.
"I file sono facili da crittografare, aiutando gli hacker a nascondere malware ed eludere proxy Web, sandbox o scanner di posta elettronica", ha affermato Alex Holland, analista senior di malware presso il team HP Wolf Security Threat Research.
"Ciò rende gli attacchi difficili da rilevare, soprattutto se combinati con tecniche di contrabbando HTML".
Holland ha utilizzato come esempio le recenti campagne QakBot e IceID. In queste campagne, i file HTML sono stati utilizzati per indirizzare le vittime a falsi visualizzatori di documenti online, dove le vittime sono state incoraggiate ad aprire un file .ZIP e sbloccarlo con una password. Ciò infetterebbe i tuoi terminali con malware.
"Ciò che è stato interessante delle campagne QakBot e IceID è stato lo sforzo profuso per creare le pagine false: queste campagne sono state più convincenti di tutte quelle che abbiamo visto prima, rendendo più difficile per le persone sapere di quali file possono e non possono fidarsi". ha aggiunto Hollande.
HP ha anche affermato che i criminali informatici hanno evoluto le loro tattiche per sviluppare "campagne complesse" con una catena di infezione modulare.
Ciò consente loro di modificare il tipo di malware distribuito durante la campagna, a seconda della situazione. I truffatori possono fornire spyware, ransomware o ladri di informazioni, tutti utilizzando le stesse tattiche di infezione.
Secondo i ricercatori, il modo migliore per proteggersi da questi attacchi è adottare un approccio di sicurezza Zero Trust.
"Seguendo il principio Zero Trust di isolamento sottile, le organizzazioni possono utilizzare la microvirtualizzazione per garantire che attività potenzialmente dannose, come fare clic su collegamenti o aprire allegati dannosi, vengano eseguite su una macchina virtuale usa e getta separata dai sistemi sottostanti", ha affermato il Dr. Ian Pratt , responsabile globale della sicurezza dei sistemi personali di HP.
"Questo processo è completamente invisibile all'utente e intrappola qualsiasi malware nascosto all'interno, assicurando che gli aggressori non possano accedere ai dati sensibili e impedendo loro di ottenere l'accesso e di spostarsi lateralmente".