HP Wolf Security, חטיבת אבטחת הסייבר של HP, פרסמה את דו”ח האבטחה לרבעון האחרון של 2023, המציג את המגמות בתחום מתקפות הסייבר שהצליחו לעקוף מנגנוני אבטחה שונים, בהם שימוש בפלטפורמות פרסום להפצת נוזקות, עליה בשימוש בקבצי PDF זדוניים ועוד.
תחום אבטחת הסייבר נחשב מזמן כמשחק של חתול ועכבר בין גורמים זדוניים וחברות האבטחה. לפי הדו”ח החדש, הדואר האלקטרוני הוא עדיין וקטור התקיפה העיקרי של תוקפים עם 75% מסך כל ההתקפות, כאשר 14% מהתקיפות שבוצעו הצליחו לעקוף סורק אבטחה אחד או יותר שנועד להגן על המיילים.
אחת ממתקפות המייל שאותרו על ידי החברה עשתה שימוש בקמפיינים לגיטימים לפרסום ברשת על מנת להפיץ נוזקות.
דוגמה לכך היא DarkGate, בה גורמים זדוניים משתמשים בכלי פרסום לגיטימיים על מנת להפיץ את המיילים שלהם, כאשר המתקפות מוסוות על ידי שימוש באמצעים כמו כמו CAPTCHA כדי לוודא שמנגנוני אבטחה אוטומטיים לא יזהו את המתקפה וכי מדובר במשתמשים אנושיים.
הנוזקה, שאותרה עוד ב-2018, מוגדרת כ”נוזקה כשירות” MaaS (ר”ת Malware-as-a-service), נוזקה יעודית אותה שוכרים תוקפים זדוניים במטרה להדביק משתמשים.
כחלק משיטת הפעולה שלה, משתמשים מקבלים מיילים של פרסום הכוללים קבצי PDF, שמדמים הודעות שגיאה משירות ה-OneDrive של מיקרוסופט, עם קישור שמפנה את המשתמש להורדת נוזקת ה-DarkGate.
הדו”ח מצביע על שימוש נרחב בקבצי אופיס לגיטימיים לכאורה, המנצלים חולשות קוד כווקטורי תקיפה, כאשר ב-84% מהמקרים נעשה שימוש בגליונות אקסל אלקטרוניים ו-73% במסמכי וורד, קבצים שניצלו חולשות ביישומי אופיס על מנת להריץ תוכנות זדוניות שונות.
השימוש בקבצים דחוסים להפצת נוזקות נותר כווקטור תקיפה פופולרי עם שימוש ב-30% מהמקרים שאותרו על ידי החברה, כאשר וקטור תקיפה שצבר פופולריות עם עליה של 7% בכמות המתקפות לעומת תחילת 2023 כולל את קבצי ה-PDF, שמכילים נוזקות דוגמת Ursnif הטרויאנית המיועדת לגניבת פרטים בנקאיים של המשתמשים, נוזקה המסוות בתור אפליקציית CCleaner לגיטימית היורדת ברקע דרך ה-PDF.
וקטור תקיפה נוסף אותו מגלה הדו”ח הוא שימוש באתרים לגיטימיים דוגמת TextBin ו-Discord על מנת להפיץ קוד זדוני, כאשר חברות רבות מתייחסות לשירותים הללו כבטוחים, אך הם מכילים למעשה קבצי JavaScript כטקסט המסוגלים להדביק מחשבים ולעקוף פתרונות הגנה שונים.
אלכס הולנד, אנליסט בכיר של תוכנות זדוניות בצוות המחקר של HP Wolf Security, מסר:
פושעי סייבר הופכים מיומנים יותר בהבנה של איך משתמשים וארגונים עובדים. לדוגמה, העיצוב של שירותי ענן פופולריים נמצא תמיד בתהליך של ליטוש, כך שכאשר מופיעה הודעת שגיאה מזויפת, היא לא בהכרח תעורר אזעקה, גם אם משתמש לא ראה אותה בעבר. מכיוון ש-GenAI מייצר תוכן זדוני משכנע עוד יותר בעלות מועטה עד ללא עלות, ההבחנה בין אמיתי לזיוף הופכת קשה יותר.
ד”ר איאן פראט, ראש תחום אבטחה עולמי למערכות אישיות ב-HP, מסר:
פושעי סייבר מיישמים את אותם הכלים שארגון עשוי להשתמש בהם כדי לנהל מסע פרסום שיווקי כדי לייעל את הפעולות של התוכנות הזדוניות שלהם, ולהגדיל את הסבירות שהמשתמש יקבל את הפיתיון. על מנת להגן מפני גורמי איומים בעלי משאבים איכותיים, ארגונים חייבים לפעול לפי עקרונות אפס אמון, לבודד ולהכיל פעילויות מסוכנות כמו פתיחת קבצים מצורפים לדוא”ל, לחיצה על קישורים והורדות דפדפן.
ניתן לקרוא את הדו”ח המלא של HP Wolf Security בקישור הבא PDF (אנחנו מודעים לאירוניה של הפניה לקובץ ה-PDF באתר HP, אז הנה גם קישור לנקודות העיקריות של הדו”ח באתר HP, שמפנה מצידו ל-PDF גם כן).
