Στο πλαίσιο του ετήσιου Amplify Conference, η HP παρουσίασε την τελευταία HP Threat Insights Report, η οποία αναδεικνύει την αυξανόμενη χρήση ψεύτικων τεστ CAPTCHA από κυβερνοεγκληματίες, με στόχο να παραπλανήσουν τους χρήστες και να τους οδηγήσουν, εν αγνοία τους, σε μόλυνση από κακόβουλο λογισμικό. Οι καμπάνιες αυτές δείχνουν ότι οι επιτιθέμενοι εκμεταλλεύονται την αυξημένη εξοικείωση των χρηστών με τη διαδικασία πολλαπλών βημάτων πιστοποίησης ταυτότητας στο διαδίκτυο – μια τάση που η HP χαρακτηρίζει ως «ανοχή στα κλικ».
Αναλύοντας πραγματικές κυβερνοεπιθέσεις, η HP Threat Insights Report βοηθά τις επιχειρήσεις να παραμένουν ενημερωμένες σχετικά με τις πιο πρόσφατες τεχνικές που χρησιμοποιούν οι κυβερνοεγκληματίες για να παρακάμπτουν τα συστήματα ανίχνευσης και να διεισδύουν σε υπολογιστές. Με βάση δεδομένα από εκατομμύρια τελικά σημεία που χρησιμοποιούν το HP Wolf Security¹, οι ερευνητές απειλών της HP εντόπισαν σημαντικές κακόβουλες ενέργειες, όπως:
- CAPTCHA Me If You Can: Καθώς τα bots γίνονται ολοένα και πιο ικανά στο να παρακάμπτουν τα CAPTCHA, οι διαδικασίες πιστοποίησης έχουν γίνει πιο περίπλοκες – κάτι που έχει οδηγήσει τους χρήστες στο να συνηθίζουν την ταυτοποίηση πολλαπλών βημάτων για να αποδείξουν ότι είναι άνθρωποι. Οι ερευνητές απειλών της HP εντόπισαν πολλές κακόβουλες εκστρατείες, όπου οι επιτιθέμενοι δημιούργησαν ψεύτικα CAPTCHA. Οι χρήστες κατευθύνονταν σε ιστότοπους που ελέγχονταν από τους δράστες και καλούνταν να ολοκληρώσουν μια σειρά ψεύτικων προκλήσεων πιστοποίησης. Με αυτόν τον τρόπο, οι ανυποψίαστοι χρήστες εξαπατούνταν ώστε να εκτελέσουν μια κακόβουλη εντολή PowerShell στον υπολογιστή τους, η οποία τελικά εγκαθιστούσε το Lumma Stealer, ένα απομακρυσμένο trojan (RAT) για κλοπή δεδομένων.
- Επιτιθέμενοι με Δυνατότητα Πρόσβασης σε Κάμερες και Μικρόφωνα Χρηστών για Παρακολούθηση Θυμάτων: Σε μια δεύτερη σειρά επιθέσεων, οι επιτιθέμενοι διέδιδαν το XenoRAT, ένα κακόβουλο λογισμικό ανοικτού κώδικα και απομακρυσμένης πρόσβασης (RAT) με προηγμένες δυνατότητες παρακολούθησης, όπως καταγραφή από μικρόφωνο και κάμερα. Χρησιμοποιώντας τεχνικές κοινωνικής μηχανικής, έπειθαν τους χρήστες να ενεργοποιήσουν τα macros σε έγγραφα Word και Excel. Έτσι, οι δράστες αποκτούσαν τον έλεγχο των συσκευών, μπορούσαν να υποκλέψουν δεδομένα, να καταγράψουν πληκτρολογήσεις και να αποδείξουν ότι το Word και το Excel συνεχίζουν να αποτελούν κίνδυνο για την εξάπλωση κακόβουλου λογισμικού.
- Χρήση Python Scripts για Απόκρυψη Κακόβουλου Κώδικα σε SVG Αρχεία: Μια άλλη αξιοσημείωτη πρακτική επίθεσης δείχνει πώς οι επιτιθέμενοι παραδίδουν κακόβουλο JavaScript κώδικα «κρυμμένο» μέσα σε εικόνες Scalable Vector Graphic (SVG), ώστε να αποφύγουν την ανίχνευση. Οι εικόνες αυτές ανοίγονται από προεπιλογή στους web browsers, εκτελώντας τον ενσωματωμένο κακόβουλο κώδικα για την εγκατάσταση επτά payloads, συμπεριλαμβανομένων RATs και infostealers, προσφέροντας στους δράστες εφεδρικές επιλογές και δυνατότητες κερδοφορίας. Στο πλαίσιο της αλυσίδας μόλυνσης, οι επιτιθέμενοι χρησιμοποίησαν επίσης «καμουφλαρισμένα» Python scripts για την εγκατάσταση του κακόβουλου λογισμικού. Η αυξανόμενη δημοτικότητα της Python – που ενισχύεται περαιτέρω από το ενδιαφέρον για την τεχνητή νοημοσύνη και την επιστήμη δεδομένων – την καθιστά μια ολοένα και πιο ελκυστική γλώσσα για τη δημιουργία κακόβουλου λογισμικού, καθώς ο διερμηνέας της είναι ευρέως εγκατεστημένος.
Ο Patrick Schläpfer, Principal Threat Researcher στο HP Security Lab, σχολιάζει:
«Ένα κοινό χαρακτηριστικό σε όλες αυτές τις επιθέσεις είναι η χρήση τεχνικών απόκρυψης και αντι-ανάλυσης, οι οποίες επιβραδύνουν τις έρευνες. Ακόμη και απλές αλλά αποτελεσματικές μέθοδοι απόκρυψης μπορούν να καθυστερήσουν την ανίχνευση και την απόκριση των ομάδων ασφαλείας, δυσκολεύοντας τον περιορισμό μιας παραβίασης. Με τη χρήση μεθόδων όπως οι άμεσες κλήσεις συστήματος, οι επιτιθέμενοι καθιστούν πιο δύσκολη την ανίχνευση κακόβουλων δραστηριοτήτων από τα εργαλεία ασφαλείας, αποκτώντας περισσότερο χρόνο για να παραμείνουν αόρατοι και να θέσουν σε κίνδυνο τις συσκευές των θυμάτων.»
Απομονώνοντας απειλές που έχουν διαφύγει από τα εργαλεία ανίχνευσης στους υπολογιστές - αλλά επιτρέποντας στο κακόβουλο λογισμικό να πυροδοτηθεί με προσοχή μέσα σε ασφαλές περιβάλλον, το HP Wolf Security απέκτησε συγκεκριμένη εικόνα των τελευταίων τεχνικών που χρησιμοποιούν οι εγκληματίες του κυβερνοχώρου. Μέχρι σήμερα, οι χρήστες του HP Wolf Security έχουν κάνει κλικ σε περισσότερα από 65 δισεκατομμύρια επισυνάψεις email, ιστοσελίδες και κατεβασμένα αρχεία χωρίς να έχουν αναφερθεί παραβιάσεις.
Η έκθεση, η οποία εξετάζει δεδομένα από το τέταρτο τρίμηνο του 2024, περιγράφει λεπτομερώς πώς οι εγκληματίες του κυβερνοχώρου συνεχίζουν να διαφοροποιούν τις μεθόδους επίθεσης για να παρακάμπτουν τα εργαλεία ασφαλείας που βασίζονται στην ανίχνευση, όπως:
- Τουλάχιστον το 11% των απειλών μέσω email που εντοπίστηκαν από το HP Sure Click κατάφεραν να παρακάμψουν έναν ή περισσότερους σαρωτές πύλης email.
- Τα εκτελέσιμα αρχεία ήταν ο πιο δημοφιλής τύπος διανομής κακόβουλου λογισμικού (43%), ενώ ακολουθούν τα αρχεία αρχειοθέτησης (32%).
Ο Dr. Ian Pratt, Global Head of Security for Personal Systems στην HP Inc., σχολιάζει:
«Η πιστοποίηση πολλαπλών βημάτων είναι πλέον ο κανόνας, γεγονός που αυξάνει την «ανοχή μας στο κλικ». Η έρευνα δείχνει ότι οι χρήστες ακολουθούν πολλαπλά βήματα σε μια αλυσίδα μόλυνσης, αναδεικνύοντας τις αδυναμίες των προγραμμάτων εκπαίδευσης για την κυβερνοασφάλεια. Οι οργανισμοί βρίσκονται σε έναν αγώνα εξοπλισμών με τους επιτιθέμενους, έναν αγώνα που η τεχνητή νοημοσύνη θα επιταχύνει. Για να αντιμετωπίσουν τις ολοένα και πιο απρόβλεπτες απειλές, οι οργανισμοί θα πρέπει να επικεντρωθούν στη μείωση της επιφάνειας επίθεσης τους, απομονώνοντας επικίνδυνες ενέργειες – όπως το να κάνουν κλικ σε πράγματα που θα μπορούσαν να τους βλάψουν. Έτσι, δεν χρειάζεται να προβλέπουν την επόμενη επίθεση, καθώς θα είναι ήδη προστατευμένοι.»
