Частота вредоносных кампаний по электронной почте в 4 квартале 2016 года резко возросла, причем самая крупная из них была в семь раз больше самой крупной кампании предыдущего квартала — что свидетельствует о вспышке активности угроз, поскольку злоумышленники нацелены на распространение программ-вымогателей, пишет Computing со ссылкой на квартальную сводку компании Proofpoint.
Вредоносные вложения JavaScript в настоящее время в 4-6 раз превышают по количеству вредоносные приложения типа PDF-файлов.
Программы-вымогатели в основном используют семейство хакерских программ Locky и рассылаются в виде сжатых файлов с вредоносным кодом JavaScript. В отчете отмечается «резкое увеличение этой тактики по сравнению с предыдущими кампаниями, где использовались приложения к документам с вредоносными макросами». Также сильно выросло использование программ-вымогателей Cerber и CryptXXX.
В то же время применение комплектов вредоносного ПО снизилось на 93% после максимума в начале года, тогда как количество разновидностей программ-вымогателей увеличилось в 30 раз.
Угрозы, проистекающие от эксплойтов, относятся к категории вредоносной интернет-рекламе, внедренной с использование кода, который пользуется уязвимостями браузера.
Proofpoint также утверждает, что организации начинают борьбу с кампаниями, компрометирующими электронную переписку компаний (ВЕС), где злоумышленники подделывают письма от руководителей с приказом для рядовых сотрудников, как правило, из бухгалтерии, перевести денежные средства из организации, часто обходя установленные процедуры.
Компания заявляет, что злоумышленники используют новые техники, чтобы избежать обнаружения. «Хакеры продолжают изобретать новые методы, чтобы избежать, уклониться или иным образом помешать их обнаружению с помощью автоматизированной «песочницы» и других видов динамического анализа. Например, мы наблюдали вредоносные приложения к документам со встроенными объектами VBScript и LNK вместо вредоносных макросов. Другие хакеры начали использовать зашифрованные или защищенные паролем приложения к документам, где пароль включен в текст электронного сообщения, увеличивая ощущение законности и уменьшая способность большинства «песочниц» обезвредить документы. Мы наблюдали эту технику в кампании распространения программ-вымогателей CERBER и банковского троянца Ursnif, и даже в фишинговых кампаниях», — предупреждает Proofpoint.