Top 4 dangerous file attachments

Spameri šalju milijarde poruka svakog dana. Uglavnom je to banalno oglašavanje – dosadno, ali generalno bezopasno. Ali, s vremena na vreme, postoji jedna zlonamerna datoteka priložena jednoj od poruka.
Da bi izazvao primaoca u otvaranje opasnog fajla, obično se prikriva kao nešto zanimljivo, korisno ili važno: radni dokument, odlična ponuda, poklon kartica sa logom dobro poznate kompanije i tako dalje.
Distributeri zlonamjernih programa imaju svoje vlastite “kućne ljubimce” formate. U ovom postu istražujemo vrhunske fajlove za skrivanje malware-a .

1. ZIP i RAR arhive
Sajber kriminalci vole da kriju malware u arhivama. Na primer, ZIP fajlovi koji su pod nazivom Love_You0891 (broj varira) su korišteni od strane napadača za distribuciju GandCrab Ransomwarea uoči Svetog Valentina. Drugi prevaranti su bili viđeni nekoliko nedelja kasnije slanjem arhiva sa Qbot Trojanom , koji je specijalizovan za krađu podataka.
I ove godine je otkrivena zanimljiva WinRAR funkcija. Ispostavlja se da prilikom kreiranja arhive možete postaviti pravila za raspakiranje sadržaja u sistemsku mapu. Konkretno, sadržaj može ići u fasciklu Windows pokretanja, uzrokujući da počnu sa sledećim ponovnim pokretanjem. Stoga, preporučujemo da korisnici WinRAR a odmah ažuriraju kako bi to popravili .

2. Microsoft Office dokumenti
Microsoft Office datoteke, posebno Word dokumenti (DOC, DOCX), Excel tabele (XLS, XLSX, XLSM), prezentacije i predlošci, takođe su popularni kod sajber kriminalaca. Ove datoteke mogu sadržati ugrađene makronaredbe  – male programe koji se izvode unutar datoteke. Sajber kriminalci koriste makroe kao skripte za preuzimanje malvera.
Ovi prilozi su najčešće ciljani službenici. Oni su prikriveni kao ugovori, računi, obaveštenja o porezima i hitne poruke od višeg rukovodstva. Na primjer, bankovni trojanac koji nosi ime Ursnif bio je podvrgnut Italijanskim korisnicima pod obavestenje o plaćanju. Ako je žrtva otvorila datoteku i pristala na omogućavanje makronaredbi (onemogućeno po defaultu iz sigurnosnih razloga), Trojanac je preuzet na računaru.

3. PDF datoteke

Mnogi ljudi znaju o opasnostima makronaredbi u Microsoft Office dokumentima, ali su često manje svjesne grešaka u PDF datotekama. Ipak, PDF-ovi mogu sakriti malware. Format se može koristiti za kreiranje i pokretanje JavaScript datoteka.
Štaviše, sajber kriminalci vole sakrivanje phishing veza u PDF dokumentima. Na primer, u jednoj kampanji neželjene pošte, prevaranti su ohrabrili korisnike da odu na “sigurnu” stranicu na kojoj su zamoljeni da se prijave na svoj American Express račun. Nepotrebno je reći da su njihovi akreditivi odmah prosleđeni prevarantima.

4. ISO i IMG slike diska

U poređenju sa prethodnim tipovima priloga, ISO i IMG datoteke se ne koriste često. Međutim, u poslednje vreme im se posvećuje sve veća pažnja. Takve datoteke – slike diska – su u osnovi virtualna kopija CD-a, DVD-a ili drugog diska.
Napadači su koristili sliku diska za isporuku malicioznog softvera za žrtve, kao što je Agent Tesla Trojan, koji je specijalizovan za krađu akreditiva. Unutar slike bila je zlonamerna izvršna datoteka koja je, kada je bila montirana, aktivirala i instalirala špijunski softver na uređaju. Zanimljivo, u nekim slučajevima, sajber-kriminalci su koristili dva priloga (ISO i DOC) zajedno, očigledno kao siguran.

Kako se nositi sa potencijalno opasnim priključcima

Pisanje svih poruka sa arhivom ili DOCX / PDF datotekom u fasciklu za neželjenu poštu bi bilo previše. Umesto toga, da bi prevarili prevarante, zapamtite nekoliko jednostavnih pravila:

  • Ne otvarajte sumnjive e-mailove sa nepoznatih adresa. Ako ne znate zašto je određena poruka sa određenom linijom predmeta u vašoj pristigloj pošti, najverovatnije vam nije potrebna.
  • Ako vaš rad uključuje rad sa prepiskom od nepoznatih osoba, pažljivo proverite adresu pošiljatelja i naziv meila. Ako nešto izgleda čudno, nemojte ga otvoriti.
  • Ne dozvolite pokretanje makronaredbi u dokumentima koji stižu e-poštom, osim ako ste sigurni da morate.
  • Oprezno tretirajte sve linkove unutar datoteka. Ako ne vidite zašto se od vas traži da pratite link, jednostavno ga ignorišite. Ako verujete da trebate slediti vezu, ručno unesite adresu relevantnog web-mesta u pregledniku.
  • Koristite pouzdano sigurnosno rešenje koje će vas obavijestiti o opasnim datotekama i blokirati ih, a također će izdati upozorenje ako pokušate otići na sumnjivu web-lokaciju.

    Leonid Grustniy –
    Više o ovoj temi pročitajte na linku:
    https://labsblog.f-secure.com/2019/05/08/spam-trends-top-attachments-and-campaigns/ 

 

Dežurstvo od 09 do 16h u prostoriji servisa

Fismod - Beograd

Koristimo "mali" godišni odmor od 29.07. do 03.08.2021