top of page

HP advarer om ChromeLoader Malware-kampagne rettet mod piratbrugere

Hewlett Packard har udgivet sin kvartalsvise HP Wolf Security Threat Insights-rapport, der afslører en bekymrende tendens til, at angribere udnytter malware skjult i OneNote-dokumenter og bruger betroede domæner til at omgå Office-makrokontrol.


Hewlett Packard, HP, HPE, HP Wolf Security, Threat Incident, OneNote, Chromeloader, Malæware, Cyberangreb, IT-sikkerhed

Rapporten kaster lys over en ny taktik, der anvendes af trusselsaktører, der kaprer brugernes Chrome-browsere, når de forsøger at downloade populære film eller videospil fra piratkopieringswebsteder.


Med fokus på at identificere trusler, der har formået at unddrage sig traditionelle registreringsværktøjer på pc'er, giver HP Wolf Security værdifuld indsigt i de udviklende teknikker, der anvendes af cyberkriminelle i det hastigt skiftende cyberkriminalitetslandskab. Især har HP Wolf Securitys kunder interageret med mere end 30 milliarder e-mail-vedhæftede filer, websider og downloadede filer uden at have oplevet nogen rapporterede brud.


Ved at trække på data opnået fra millioner af slutpunkter, der kører HP Wolf Security, afslørede forskerne følgende nøgleresultater:


1. Chrome-udvidelsen “Shampoo” er svær at vaske ud: En cyberangrebs kampagne, der distribuerer ChromeLoader-malwaren, narrer brugerne til at installere en ondsindet Chrome-udvidelse kaldet Shampoo. Det kan omdirigere ofrets søgeforespørgsler til ondsindede websteder eller sider, der vil tjene den kriminelle gruppe penge gennem annoncekampagner. Malwaren er meget persistent og bruger Task Scheduler til at genstarte sig selv hvert 50. minut.


2. Angribere omgår makropolitikker ved at bruge betroede domæner: Mens makroer fra ikke-pålidelige kilder nu er deaktiveret, så HP angribere omgå disse kontroller ved at kompromittere en pålidelig Office 365-konto, oprette en ny firma-e-mail og distribuere en ondsindet Excel-fil, der inficerer ofre med Formbog infostealer.


3. Virksomheder skal passe på, hvad der gemmer sig nedenunder: OneNote-dokumenter kan fungere som digitale scrapbøger, så enhver fil kan vedhæftes indeni. Angribere udnytter dette til at indlejre ondsindede filer bag falske "klik her"-ikoner. Ved at klikke på det falske ikon åbnes den skjulte fil, der udfører malware for at give angribere adgang til brugernes maskine – denne adgang kan derefter sælges videre til andre cyberkriminelle grupper og ransomware-bander.


I januar begyndte sofistikerede grupper som Qakbot og IcedID at indlejre malware i OneNote-filer. Da OneNote-sæt nu er let tilgængelige på cyberkriminalitetsmarkedspladser og kræver minimale tekniske færdigheder, forventes det, at deres malware-kampagner vil fortsætte i de kommende måneder.


Hvordan skal vi reagere på denne rapport?


For at beskytte mod disse trusler, der udvikler sig, rådes brugere og virksomheder til at afstå fra at downloade materialer fra ikke-pålidelige websteder, især piratkopierede websteder. Medarbejdere bør udvise forsigtighed, når de håndterer mistænkelige interne dokumenter og bekræfte deres legitimitet over for afsenderen, før de åbner.


Derudover bør organisationer konfigurere e-mail-gateways og sikkerhedsværktøjer til at blokere OneNote-filer, der stammer fra ukendte eksterne kilder.


Rapporten fremhæver også diversificeringen af ​​angrebsmetoder, der anvendes af cyberkriminalitetsgrupper. De skifter væk fra Office-formater og udforsker teknikker såsom brug af ondsindede arkivfiler og HTML-smugling til at omgå e-mail-gateways.


Disse indsigter understreger behovet for, at organisationer og enkeltpersoner forbliver på vagt og tilpasser deres sikkerhedsforanstaltninger i overensstemmelse hermed for at modvirke den stadigt skiftende taktik, der anvendes af trusselsaktører.


Arkiver var den mest populære malware-leveringstype (42 %) i fjerde kvartal i træk, når man undersøgte trusler stoppet af HP Wolf Security i 1. kvartal.


Der var en stigning på 37 procentpoint i HTML-smuglingstrusler i Q1 versus Q4.


Der var en stigning på 4 point i PDF-trusler i 1. kvartal i forhold til 4. kvartal.


Der var et fald på 6 punkter i Excel-malware (19 % til 13 %) i 1. kvartal i forhold til 4. kvartal, da formatet er blevet sværere at køre makroer i.


14% af e-mailtrusler identificeret af HP Sure Click omgik en eller flere e-mail-gatewayscannere i 1. kvartal 2023.


Den største trusselvektor i 1. kvartal var e-mail (80 %) efterfulgt af browserdownloads (13 %).


“To protect against increasingly varied attacks, organizations must follow zero trust principles to isolate and contain risky activities such as opening email attachments, clicking on links, or browser downloads. This greatly reduces the attack surface along with the risk of a breach” Dr. Ian Pratt, Global Head of Security for Personal Systems, HP Inc.

HP Wolf Security anvender en proaktiv tilgang til at beskytte brugere ved at udføre potentielt risikable handlinger, såsom at åbne vedhæftede filer i e-mail, downloade filer og klikke på links, inden for isolerede mikro-virtuelle maskiner (mikro-VM'er). Dette sikrer brugerbeskyttelse ved at skabe et sikkert miljø til disse opgaver. Derudover fanger HP Wolf Security omfattende spor af forsøg på infektioner, hvilket muliggør en dybdegående analyse.


Applikationsisoleringsteknologien udviklet af HP afbøder effektivt trusler, der kan omgå traditionelle sikkerhedsværktøjer. Ved at isolere disse opgaver i mikro-VM'er giver HP Wolf Security en robust forsvarsmekanisme, der forhindrer potentielle indtrængen. Desuden giver denne tilgang værdifuld indsigt i nye indtrængningsteknikker og trusselsaktørers adfærd, hvilket giver mulighed for en bedre forståelse af deres taktik.


Ved at udnytte denne innovative sikkerhedsløsning tilbyder HP Wolf Security ikke kun forbedret beskyttelse, men giver også unik og værdifuld viden, der hjælper med at være et skridt foran de trusler, der udvikler sig i det stadigt skiftende cybersikkerhedslandskab.

bottom of page