(Не)безопасные файлы – вирусы в рассылках маскируют в Excel

Мы уже не раз отмечали тенденцию увеличения атак вирусов-шифровальщиков, происходящих, как правило, через спам-рассылки и корпоративную почту. Однако, благодаря отчету исследовательской группы НР за 4 квартал 2021 года, у нас появилась возможность проанализировать конкретные способы проникновения вирусов.

Мало кто из офисных сотрудников, особенно задействованных в компаниях, имеющих свою службу безопасности, открывает подозрительные файлы, поэтому мошенники маскируют их под привычные и безопасные – например, закладывая вредоносный код в надстройку Microsoft Excel (.xll) для заражения систем своих жертв. В сравнении с 3-м кварталом, такой способ заражения стал использоваться в 7 раз чаще, и этот негативный продолжает нарастать.

Среди ключевых выводов исследования стоит принять во внимание следующие пункты:

• 13% изолированных вредоносных скриптов, отправленных по электронной почте, обошли хотя бы один сканер безопасности на почтовом шлюзе.
• В попытках заразить компьютеры организаций злоумышленники использовали 136 различных расширений файлов.
• 77% обнаруженных вредоносных программ были доставлены по электронной почте, при этом на загрузку из Интернета приходилось лишь 13% из них.
• Наиболее распространенными вложениями, используемыми для доставки вредоносных программ, были документы (29%), архивы (28%), файлы .exe (21%) и электронные таблицы (20%).
• Наиболее распространенными фишинговыми приманками стали письма, связанные с Новым годом или бизнес-операциями, например, с такими темами как «Заказ», «2021/2022», «Оплата», «Покупка», «Заявка» и «Счет».

Подобные атаки особенно опасны, так как для активации вредоносных программ достаточно кликнуть по отправленному файлу. Яркий пример – недавний инцидент со спам-кампании QakBot. Киберпреступники рассылали файлы Excel через скомпрометированные учетные записи электронной почты, перехватывая переписку жертв и отправляли поддельные ответные сообщения с прикрепленным вредоносным файлом Excel (.xlsb). После попадания на устройство, QakBot внедряется в процессы ОС, чтобы избежать обнаружения. Вредоносные файлы Excel (.xls) также использовались для распространения банковского трояна Ursnif среди итальяноязычных предприятий и организаций государственного сектора посредством спама. При этом злоумышленники выдавали себя за служащих итальянской курьерской службы BRT. Новые кампании по распространению вредоносных программ Emotet теперь также используют Excel вместо файлов JavaScript или Word.

Таким образом, для защиты данных от мошенников особенно важно минимизировать человеческий фактор, на который полагаются преступники, усиливая информационную безопасность и оповещая сотрудников о возможных угрозах, скрывающихся в электронных рассылках.