По сравнению с предыдущим периодом изменилась популярность некоторых типов вредоносных вложений. При этом выбор атакующих коррелирует с возможностью обхода различных методов безопасности.
Как и ранее, одними из наиболее часто используемых типов вложений в 2024 году остались архивные файлы (32%), и по статистике, полученной из песочницы PT Sandbox, на территории России они чаще всех остальных типов оказывались вредоносными — 38% всех задетектированных вредоносных файлов относятся к архивам. Учитывая многолетнюю тенденцию к использованию вредоносных архивов среди злоумышленников, защитники активно противостоят им: согласно данным из отчетов продукта для проверки защищенности электронной почты PT Knockin, они доходят до конечного пользователя без изменений всего лишь в 5% случаев. Поэтому, чтобы избежать сканирования файлов средствами защиты, преступники используют различные техники. Классическим примером является шифрование архивов при помощи пароля, который в основном содержится непосредственно в теле письма, — этот прием не дает сканерам безопасности заглянуть внутрь. Например, так поступила группировка PhaseShifters. Кроме того, злоумышленники экспериментируют, создавая новые методы. Так, в 2024 году исследователи Perception Point отметили новую технику обхода защиты, основанную на объединении ZIP-архивов. Ее суть заключается в том, что атакующие создают несколько отдельных архивов, в одном из которых находится вредоносное ПО, а другие остаются пустыми или заполняются безобидными файлами. Подобно матрешке, архивы объединяются в единый, содержащий несколько ZIP-структур. Это позволяет скрывать вредоносную полезную нагрузку в частях архива, к которым некоторые считыватели ZIP не могут добраться или не имеют доступа.
Ежедневно в рабочих процессах человек сталкивается с PDF-файлами и офисными документами: текстовыми файлами, электронными таблицами и файлами презентаций. Эти типы файлов часто не вызывают у пользователя подозрений, и поэтому регулярно используются преступниками (27%). По данным, полученным на основе аналитики из PT Sandbox, 14% всех задетектированных вредоносных файлов представляют собой PDF-файлы и офисные документы. По данным, полученным из аналитики PT Knockin, атакующие успешно доставляют (37%) их, применяя множество методов для избегания обнаружения. Среди отмеченных в 2024 году таким стало использование умышленно поврежденных документов Word, используемых в кампании по доставке вредоносных QR-кодов. Атакующие могут применять и «устаревающие» форматы, такие как, например, RTF: в марте 2024-го исследователями было обнаружено 6755 атак с их использованием. В рамках этой кампании преступники использовали хитрую технику обфускации URL с использованием символа @. Рассмотрим ее на примере ссылки: https://microsoft[.]com@сайт злоумышленника[.]com/. Может показаться, что это легитимный сайт microsoft[.]com, но на самом деле браузер игнорирует все до символа @ и учитывает только то, что после него. Таким образом, мы попадем на сайт злоумышленника[.]com/. Еще одним интересным типом файлов, используемых хакерами в 2024 году, были OneNote, более 6000 образцов которых проанализировали Unit 42. Этот тип файлов позволяет доставить не только скрипты-загрузчики, но и исполняемые файлы.
На сегодняшний день многие знают о потенциальной опасности исполняемых файлов, и неспроста: 35% всех задетектированных PT Sandbox вредоносных файлов относятся к этому типу. Средства защиты также научились справляться с этой угрозой: по данным PT Knockin, лишь 7% доходят до конечного пользователя. Поэтому злоумышленники почти перестали рассылать их (1%).