В 70% кибератак на организации использовалось вредоносное ПО, способное обходить антивирусы, полагающиеся на сигнатуры.
В своем новом отчете о вредоносной активности за второй квартал 2020 года компания WatchGuard представила весьма неоднозначные данные. Хотя по сравнению с первым кварталом общее количество выявленных атак на организации с использованием вредоносного ПО сократилось на 8%, число атак с использованием вредоносного ПО, недетектируемого с помощью антивирусных систем, базирующихся на сигнатурах, возросло на 12%. Так, в 7 из 10 кибератак на организации во втором квартале текущего года использовалось вредоносное ПО, способное обходить антивирусы, полагающиеся на сигнатуры.
Отчет WatchGuard составлен на базе данных о кибератаках, собранных из 42 тыс. установок WatchGuard Firebox по всему миру. В общей сложности устройства WatchGuard Firebox заблокировали более 28,5 млн образцов вредоносного ПО, представляющих 410 уникальных сигнатур. Данный показатель на 15% превышает показатель за первый квартал.
Одной из отличительных черт второго квартала стало увеличение числа кибератак вредоносного ПО, использующего для обхода механизмов обнаружения так называемые «упаковщики» или «криптеры». Эти инструменты позволяют злоумышленникам переупаковывать/обфуцировать один и тот же исполняемый файл несколько раз с незначительными изменениями, благодаря чему он может обходить решения безопасности, базирующиеся на сигнатурах.
Согласно отчету, во втором квартале 2020 года увеличилось число кибератак с использованием JavaScript. В каждом пятом образце вредоносного ПО, выявленного и заблокированного WatchGuard, использовался скрипт Trojan.Gnaeus. Вредонос предназначен для взлома браузера жертвы и переадресации ее с искомой страницы на домен, подконтрольный злоумышленникам.
Как и прежде, киберпреступники продолжают активно использовать для распространения вредоносного ПО документы Microsoft Office. Одним из ярких примеров является XML-троян Abracadabra, распространяемый в зашифрованном файле Excel с паролем по умолчанию VelvetSweatshop. Шифрование позволяет вредоносу обходить решения безопасности, а благодаря паролю по умолчанию документ расшифровывается автоматически при открытии.
Источник: securitylab