Najnowszy Raport HP Threat Insights ujawnia nowe techniki cyberprzestępców, którzy coraz częściej wykorzystują wyrafinowane sztuczki socjotechniczne oraz metody typu „living-off-the-land” (LOTL). Ataki tego typu opierają się na legalnych narzędziach wbudowanych w system Windows, co pozwala hakerom unikać wykrycia przez tradycyjne oprogramowanie zabezpieczające. I dlatego też stanowią spore zagrożenie dla użytkowników, gdyż jest im trudniej zorientować się, że coś jest nie tak.
Fałszywe pliki PDF i ukryty kod w obrazach
Dla przykładu badacze HP opisali kampanię, w której przestępcy podszywali się pod pliki Adobe Acrobat Reader. Fałszywe dokumenty były wyjątkowo dopracowane i zawierały m.in. realistyczny pasek ładowania, co zwiększało szansę na otwarcie ich przez ofiarę. W rzeczywistości w pliku znajdował się skrypt typu reverse shell, umożliwiający przejęcie kontroli nad komputerem. Co więcej, pobieranie złośliwych plików ograniczono geograficznie do krajów niemieckojęzycznych, aby utrudnić analizę i opóźnić wykrycie.
Z kolei inna kampania wykorzystywała ukrywanie malware w danych pikseli obrazów. Złośliwe pliki były maskowane jako dokumenty projektowe, a w ich strukturze ukryto ładunek XWorm. Po uruchomieniu kod był wyciągany i uruchamiany w wieloetapowym łańcuchu infekcji. Do zacierania śladów ataku cyberprzestępcy używali PowerShella, a więc narzędzia wbudowanego w system Windows, który usuwał pobrane wcześniej pliki.
Powrót Lumma Stealer i pliki archiwów RAR
Raport wskazuje także na wzrost aktywności malware o nazwie Lumma Stealer, mimo wcześniejszych działań organów ścigania. Zagrożenie rozprzestrzenia się m.in. przez archiwa IMG, które skutecznie omijają filtry bezpieczeństwa. HP podkreśla, że archiwa stanowią obecnie najczęstszy wektor ataku (40%), wyprzedzając pliki wykonywalne i skrypty (35%). Szczególnie popularne są archiwa RAR (26%), często otwierane w zaufanym oprogramowaniu WinRAR.
„Stare techniki w nowym wydaniu”
— „Atakujący nie wymyślają koła na nowo, ale udoskonalają sprawdzone metody. Łączenie narzędzi LOTL, wykorzystywanie mniej oczywistych formatów plików i lekkie skrypty reverse shell sprawiają, że zagrożenia stają się trudniejsze do wykrycia” – komentuje Alex Holland, Principal Threat Researcher w HP Security Lab.
Dr Ian Pratt, szef działu bezpieczeństwa w HP, dodaje:
„Techniki living-off-the-land są szczególnie problematyczne, bo trudno odróżnić normalną aktywność od ataku. Nawet najlepsze systemy detekcji przepuszczą część zagrożeń, dlatego kluczowe jest podejście warstwowe i izolacja zagrożeń, zanim wyrządzą szkody”.
HP Wolf Security – źródło danych o realnych zagrożeniach
HP podkreśla, że raport oparto na danych zebranych w okresie kwiecień – czerwiec 2025 r. dzięki technologii HP Wolf Security. Rozwiązanie pozwala na bezpieczne detonowanie malware w izolowanych środowiskach, dostarczając unikalnych informacji o najnowszych metodach cyberprzestępców.
HP Wolf Security to stały dodatek do sprzętu z biznesowych laptopów od HP i można je znaleźć zarówno w serii HP ProBook, jak i wyżej pozycjonowanych EliteBookach.
Źródło: informacja prasowa HP
Dodaj komentarz