Výzkum společnosti HP Wolf Security odhalil několik kampaní, ve kterých útočníci zneužívají rostoucí ochotu uživatelů bez většího váhání procházet vícestupňovými ověřovacími procesy.
Společnost HP Inc. zveřejnila nový HP Threat Insights Report, který upozorňuje na rostoucí využívání falešných ověřovacích testů CAPTCHA, pomocí nichž útočníci přimějí uživatele k nechtěné infekci zařízení. Tyto kampaně staví na rostoucím zvyku uživatelů absolvovat složitější ověřovací procesy – trend, který HP označuje jako „klikací tolerance“.
Na základě analýzy reálných kybernetických útoků pomáhá zpráva HP Threat Insights Report organizacím sledovat nejnovější techniky, které kyberzločinci používají k obcházení detekce a průnikům do PC. Analýza dat z milionů koncových zařízení s HP Wolf Security odhalila tyto klíčové kampaně:
• CAPTCHA Me If You Can: Vzhledem k tomu, že roboti čím dál častěji obejdou klasické CAPTCHA testy, stává se ověřování složitější – a uživatelé si zvykají překonávat různé překážky, aby dokázali, že nejsou roboti. Výzkumníci HP odhalili několik kampaní, ve kterých kyberzločinci nastražili falešné CAPTCHA testy. Návštěvníci byli přesměrováni na stránky ovládané útočníky a vyzváni k absolvování smyšlených ověřovacích kroků. Nakonec byli přivedeni ke spuštění škodlivého PowerShell skriptu, který nainstaloval trojský kůň Lumma Stealer (RAT), tedy malware umožňující vzdálený přístup k zařízení.
• Úplný přístup k webkameře a mikrofonu obětí: V jiné kampani šířili útočníci open source trojský kůň XenoRAT, který umožňuje sledování pomocí kamery a mikrofonu. Pomocí sociálního inženýrství přiměli uživatele k povolení maker v dokumentech Word a Excel, což jim otevřelo možnost ovládat zařízení, krást data a zaznamenávat stisk kláves. Ukazuje se tak, že i soubory Office stále představují riziko z hlediska šíření malwaru.
• Python skripty a SVG smuggling: Další zajímavá kampaň ukazuje, jak útočníci doručovali škodlivý JavaScript uvnitř SVG (Scalable Vector Graphic) souborů, aby obešli detekci. Tyto soubory se v prohlížeči automaticky otevírají a spustí vložený kód, který aktivuje sedm škodlivých komponent – včetně RATů a infostealerů – což útočníkům poskytuje více způsobů, jak útok finančně využít. Součástí řetězce infekce bylo i použití skrytých Python skriptů k instalaci malwaru. Popularita Pythonu, podpořená rostoucím zájmem o AI a datovou vědu, z něj dělá atraktivní jazyk pro tvorbu škodlivých kódů, protože jeho interpret je široce rozšířen.
„Všechny tyto kampaně mají společné využívání technik obfuskace a metod, které znesnadňují jejich analýzu a tím oddalují jejich odhalení. I jednoduché, ale účinné způsoby zakrývání škodlivého kódu mohou výrazně zpomalit reakci bezpečnostních týmů a ztížit zastavení útoku. Útočníci například používají přímé systémové volání, čímž komplikují detekci pomocí bezpečnostních nástrojů a získávají více času k nepozorovanému průniku.“
HP Wolf Security dokáže izolovat hrozby, které uniknou běžné detekci na PC, a přitom umožní malware bezpečně spustit v chráněném prostředí. Díky tomu má HP detailní přehled o nejnovějších technikách kyberzločinců. Zpráva, která vychází z dat za čtvrté čtvrtletí 2024 ukazuje, jak kyberzločinci rozšiřují škálu metod, jimiž obcházejí bezpečnostní nástroje založené na detekci:
• Alespoň 11 % e-mailových hrozeb identifikovaných pomocí HP Sure Click obešlo jeden nebo více skenerů e-mailových bran.
• Nejčastějším typem doručení malwaru byly spustitelné soubory (43 %), následované archivními soubory (32 %).
Ian Pratt, šéf bezpečnosti osobních systémů HP Inc., k tomu říká: „Vícestupňové ověřování se stalo normou, což zvyšuje naši ‚klikací toleranci‘. Výzkum ukazuje, že uživatelé jsou ochotni projít několika kroky infekčního řetězce, což odhaluje slabiny v osvětě o kyberbezpečnosti. Organizace vedou závod ve zbrojení s útočníky – a umělá inteligence ho jen zrychlí. Aby mohly čelit stále nepředvídatelnějším hrozbám, měly by se zaměřit na zmenšení plochy útoku tím, že izolují rizikové akce, jako je klikání na potenciálně škodlivý obsah. Tím pádem nemusí předvídat, jaký bude další útok – protože ochrana už bude fungovat.”
