Distributoři malwaru sází na méně podezřelé typy souborů

Novinky |

Po agresivním využívání e-mailových příloh v JavaScriptu pro distribuci malwaru v uplynulém roce se teď útočníci přesouvají k méně podezřelým typům souborů.

Distributoři malwaru sází na méně podezřelé typy souborů







V minulém týdnu varovali experti z Centra ochrany proti malwaru Microsoftu před novou vlnou spamových e-mailů, obsahujících škodlivé soubory .LNK v archivech ZIP. K těmto souborům byly připojeny škodlivé skripty PowerShell.

PowerShell je skriptovací jazyk pro automatizaci systémových administračních úloh ve Windows. Již v minulosti byl zneužíván ke stahování malwaru, a existují dokonce malwarové programy napsané kompletně v PowerShellu.

V nedávné kampani, kterou zaznamenal Microsoft, obsahovaly škodlivé LNK soubory skript PowerShell, který stahoval a instaloval „klikacího“ trojského koně Kovter. Úplně stejná technika pak byla v minulosti využita k šíření ransomwaru Locky.

Experti z Intel Security pak ve čtvrtek varovali, že PowerShell může být využit i v takzvaných bezsouborových útocích, kdy je škodlivý kód spuštěn přímo v paměti a nic se neukládá na disk, takže bezpečnostní produkty na koncových zařízeních nic nezaznamenají.

Dalším souborovým typem zneužívaným k distribuci malwaru byl v uplynulých měsících SVG (škálovatelná vektorová grafika). Ačkoliv si mnoho lidí .SVG soubory správně spojuje s obrázky, je málo známou skutečností, že takové soubory vlastně mohou obsahovat i JavaScript.

Útočníci využívají SVG soubory ke spouštění skrytého JavaScriptu ve chvíli, kdy uživatelé otevřou soubory, o nichž si myslí, že jde o obrázky uvnitř webových prohlížečů. Takové skryté skripty jsou pak využívány ke spuštění stahování škodlivých souborů, varovali v nedávné zprávě lidé ze SANS Internet Storm Center.

Google má v plánu začít v Gmailu blokovat přílohy psané v JavaScriptu od 13. února, nezávisle na tom, zda jsou přiložené přímo nebo v rámci souborových archivů, například formátu ZIP. Taková omezení ze strany poskytovatelů e-mailů nejspíše přinutí kyberzločince k vyhledávání alternativních souborových formátů, umožňujících skrývání škodlivého kódu.

Zákaz příloh s koncovkou LNK nebo JS je jednoduché, protože takové soubory lidé přes e-mail většinou neposílají. Nicméně zákaz SVG může být poměrně nepraktické, protože jde o široce využívaný obrazový formát.

Zdroj: PCWorld.com



Úvodní foto: (c) paradox - Fotolia.com













Komentáře