HP Wolf Security: podvodné QR kódy se snaží oklamat uživatele mobilních zařízení

Společnost HP publikovala svoji nejnovější čtvrtletní zprávu HP Wolf Security Threat Insights Report, podle níž hackeři mění a rozšiřují metody útoků. Na vzestupu jsou phishingové kampaně, vedené prostřednictvím QR kódů. Díky izolaci hrozeb, jimiž se na počítačích obcházejí detekční nástroje, má HP Wolf Security detailní přehled o nejnovějších technikách, používaných kybernetickými zločinci. Zákazníci používající řešení HP Wolf Security již klikli na více než 25 miliard e-mailových příloh, webových stránek a souborů ke stažení, aniž by došlo k narušení bezpečnosti.

Od února 2022 začala společnost Microsoft ve výchozím nastavení blokovat makra v aplikacích sady Office, čímž útočníkům znesnadňuje spouštění škodlivého kódu. Data shromážděná týmem HP Threat Research ukazují, že od 2. čtvrtletí 2022 útočníci diverzifikují své techniky a hledají nové způsoby, jak napadnout výpočetní zařízení a ukrást data. Výzkum vycházející z údajů z milionů koncových zařízení, chráněných systémem HP Wolf Security, dospěl k následujícím zjištěním:

  • Nárůst podvodných útoků vedených prostřednictvím QR kódů: Od října 2022 zaznamenává společnost HP téměř denně podvodné kampaně zneužívající skenování QR kódů. Při tomto podvodu se útočníci snaží přimět uživatele k naskenování QR kódu z počítače pomocí mobilního zařízení – chtějí využít potenciálně slabší ochrany před phishingem a méně pravděpodobné detekce útoku na mobilních zařízeních. QR kód přesměruje uživatele na škodlivé webové stránky, které od něj následně požadují zadání údajů z kreditní či debetní karty. Ve 4. čtvrtletí se například objevovaly phishingové kampaně, při nichž se útočníci vydávali za doručovací společnosti a požadovali platbu.
  • Společnost HP zaznamenala 38% nárůst množství škodlivých příloh ve formátu PDF: V poslední době byly zaznamenány útoky vedené prostřednictvím vložených obrázků, odkazujících na zašifrované škodlivé soubory ZIP, které se takto snažily obejít programy skenující přístup na web. Pokyny v souboru PDF obsahují heslo a uživatel je vmanipulován do toho, aby s jeho použitím rozbalil soubor ZIP, čímž se nainstaluje malware QakBot nebo IcedID. Ten umožňuje útočníkům získat neoprávněný přístup k systémům, kterých využívají jako základnu pro nasazení ransomwaru.
  • 42 % malwaru bylo šířeno prostřednictvím archivních souborů ve formátech ZIP, RAR či IMG: Zneužití archivů vzrostlo od 1. čtvrtletí 2022 o 20 %, protože původci hrozeb přecházejí pro spouštění škodlivých programů na skripty. Prostřednictvím souborů Office, jako jsou Microsoft Word, Excel a PowerPoint, je pak šířeno 38 % škodlivého softwaru.

„Zaznamenali jsme, že se distributoři malwaru, jako je Emotet, snaží obejít přísnější sledování maker v aplikacích Office propracovanými taktikami sociálního inženýrství, které se podle našeho názoru jeví jako méně účinné. Když se však jedny dveře zavřou, jiné se otevřou – což dokládá nárůst podvodných QR kódů, malvertisingu, infikovaných archivů a malwaru v PDF souborech,“ vysvětluje Alex Holland, samostatný analytik v oblasti malwaru, člen týmu pro výzkum kybernetických hrozeb HP Wolf Security společnosti HP Inc. „Uživatelé by si měli dávat pozor na e-maily a webové stránky, které vyzývají ke skenování QR kódů a předávání citlivých údajů, a na soubory PDF odkazující na archivy chráněné heslem.“

Ve 4. čtvrtletí společnost HP také zjistila, že v malvertisingových kampaních bylo použito 24 napodobenin populárních softwarových projektů k infikování počítačů osmi rodinami malwaru – ve srovnání s pouhými dvěma podobnými kampaněmi v předchozím roce. Útoky spočívají v tom, že uživatelé kliknou na reklamu ve vyhledávači, která je navede na škodlivé webové stránky, jež vypadají téměř stejně jako stránky skutečné.

„Ačkoli se techniky vyvíjejí, původci hrozeb při útocích na koncová zařízení uživatelů stále využívají sociální inženýrství,“ připomíná dr. Ian Pratt, globální ředitel pro oblast zabezpečení osobních systémů ve společnosti HP Inc. „Organizace by měly používat systémy zajišťující dostatečně silnou izolaci hrozeb, aby se tímto způsobem ochránily před nejběžnějšími typy útoků, jako jsou podvodné e-mailové zprávy, webové stránky a škodlivé soubory. V kombinaci s řešeními na ochranu přístupových údajů, která uživatele varují před zadáváním citlivých údajů na podezřelé stránky nebo jim v tom zabrání, se tím výrazně omezí prostor pro útoky a zlepší se zabezpečení.“

HP Wolf Security spouští rizikové úlohy, jako je otevírání e-mailových příloh, stahování souborů a klikání na odkazy, v izolovaných virtuálních počítačích (micro-VM), aby touto cestou chránil uživatele a podrobně zmapoval pokusy o infikování počítače. Technologie izolace aplikací společnosti HP zmírňuje hrozby, které by mohly zůstat nezachyceny jinými bezpečnostními nástroji, a poskytuje jedinečné informace o nových technikách napadení a chování útočníků.

Celou zprávu naleznete zde: https://threatresearch.ext.hp.com/hp-wolf-security-threat-insights-report-q4-2022/