05/06/2019

4 rodzaje załączników, które stwarzają największe zagrożenie

Porady

Każdego dnia spamerzy wysyłają miliardy wiadomości. To głównie denerwujące, ale nieszkodliwe reklamy. Jednak co jakiś czas do takich wiadomości dołączany jest szkodliwy plik.

Aby nakłonić odbiorcę do otworzenia niebezpiecznego pliku, zwykle oszust opisuje go jak coś interesującego, przydatnego lub ważnego: dokument związany z pracą, świetnia oferta czy karta podarunkowa z logo popularnej firmy.

Osoby rozsyłające szkodliwe programy mają swoje ulubione formaty plików. Dziś sprawdzimy, które wykorzystywali najczęściej w tym roku.

  1. Archiwa ZIP i RAR

Cyberprzestępcy uwielbiają ukrywać szkodliwe programy w archiwach. Na przykład pliki ZIP zatytułowane Love_You0891 (liczba mogła być dowolna) były wykorzystywane do dystrybucji ransomware GandCrab w wigilię walentynek. Kilka tygodni później inni oszuści wysyłali archiwa zawierające trojana Qbot, który specjalizuje się w kradzieży danych.

W tym roku poznaliśmy również ciekawą funkcję programu WinRAR. Okazało się, że podczas tworzenia archiwum można ustawić reguły rozpakowywania tak, aby zawartość trafiała do folderu systemowego. Gdy zawartość znajdzie się w folderze startowym systemu Windows, szkodliwy program uruchamiał się podczas kolejnego uruchamiania systemu. Z tego względu zaleciliśmy użytkownikom programu WinRAR niezwłoczne zainstalowanie aktualizacji zawierającej łatę dla tej luki.

  1. Dokumenty pakietu Microsoft Office

Wśród cyberprzestępców popularne są również pliki pakietu Microsoft Office, a zwłaszcza dokumenty programu Word (DOC, DOCX), arkusze programu Excel (XLS, XLSX, XLSM), prezentacje i szablony. Pliki takie mogą zawierać w sobie makra — małe programy, które działają w obrębie pliku. Cyberprzestępcy używają makr jako skryptów do pobierania szkodliwych programów.

Najczęściej załączniki takie trafiają do pracowników biurowych. Występują one pod postacią umów, rachunków, powiadomień o podatkach i pilnych wiadomości od kierownictwa wyższego szczebla. Na przykład trojan bankowy o nazwie Ursnif atakował użytkowników we Włoszech pod przykrywką powiadomienia o płatności. Jeśli ofiara otworzyła plik i zgodziła się na włączenie makr (które były domyślnie wyłączone z powodów bezpieczeństwa), na komputer był pobierany trojan.

  1. Pliki PDF

Wiele osób wie, jakie zagrożenia niosą ze sobą makra w dokumentach Microsoft Office, ale nieco gorzej wygląda sytuacja z pułapkami w plikach PDF. Pliki tego formatu również mogą ukrywać szkodliwe oprogramowanie, a format ten może zostać użyty do utworzenia i uruchomienia plików JavaScript.

Co więcej, w dokumentach PDF cyberprzestępcy lubią ukrywać odnośniki phishingowe. Na przykład w jednej z kampanii spamowych zachęcali użytkowników do odwiedzenia „bezpiecznej” strony, na której mieli zalogować się na swoje konto w serwisie American Express. Oczywiście nietrudno się domyśleć, że dane logowania trafiały wprost w ręce oszustów.

  1. Obrazy dysku ISO i IMG

W porównaniu do poprzednich rodzajów załączników pliki ISO i IMG nie są zbyt często używane. Jednak od jakiegoś czasu cyberprzestępcy zwracają na nie coraz większą uwagę. Takie pliki — obrazy dysku — to wirtualna kopia dysku CD, DVD lub innego.

Atakujący użyli obrazu dysku do umieszczenia na komputerze ofiary szkodliwego trojana Agent Tesla Trojan, którego zadaniem była kradzież danych logowania. Wewnątrz obrazu znajdował się szkodliwy plik wykonywalny, który aktywował i instalował na urządzeniu oprogramowanie szpiegowskie. Co ciekawe, w niektórych przypadkach cyberprzestępcy użyli dwóch załączników (ISO i DOC), najwidoczniej na wypadek, gdyby coś poszło nie tak.

Jak postępować z potencjalnie niebezpiecznymi załącznikami

Kierowanie wszystkich wiadomości zawierających archiwum lub plikiem DOCX/PDF do folderu spamu może nie być najlepszym pomysłem. Zamiast starać się przechytrzyć spamerów, staraj się pamiętać o kilku podstawowych zasadach:

  • Nie otwieraj podejrzanych e-maili z nieznanych adresów. Jeśli nie wiesz, dlaczego dana wiadomość o takim tytule trafiła do Twojej skrzynki odbiorczej, najprawdopodobniej nie jest Ci przydatna.
  • Jeśli Twoja praca obejmuje korespondencję z nieznajomymi, dokładnie sprawdzaj adres nadawcy oraz nazwę załącznika. Jeśli coś wydaje Ci się podejrzane, zrezygnuj z otwierania.
  • Nie zezwalaj na uruchamianie makr w dokumentach, które przychodzą w poczcie e-mail, chyba że masz absolutną pewność, że są bezpieczne.
  • Ostrożnie traktuj wszelkie łącza w plikach. Jeśli nie masz powodu, aby klikać dane łącze, zrezygnuj. Jeśli jednak musisz kliknąć jakieś łącze, wprowadź ręcznie adres danej strony internetowej w swojej przeglądarce.
  • Korzystaj z niezawodnego rozwiązania zabezpieczającego, które ostrzeże Cię o niebezpiecznych plikach i zablokuje je, jak również zapobiegnie otwarciu podejrzanych stron.