الملفات المضغوطة والمكتبية هي الأخطر من حيث نقل البرمجيات الخبيثة

⬤ تتم 42% من عمليات نقل البرمجيات الخبيثة باستخدام الملفات المضغوطة، وبالأخص المقفلة.

 

⬤ في السابق، كانت الملفات المكتبية هي الوسيلة الأكثر شيوعاً لاستخدامها في حقن البرمجيات الخبيثة.

 

⬤ لا تزال 69% من عمليات نقل البرمجيات الخبيثة إلى الضحايا تتم عبر البريد الإلكتروني، و18% عبر متصفحات الويب.

 

ذكر تقرير التهديدات الأمنية للربع الثالث من عام 2022 والصادر من HP Wolf Security، أن الملفات المضغوطة  (أي الملفات بلواحق مثل zip وrar وغيرها) هي أكثر أنواع الملفات الأكثر شيوعاً لنقل البرمجيات الخبيثة، وتجاوزت بذلك الملفات المكتبية المخصصة لبرمجيات Microsoft Office (والتي تستخدم لواحق مثل docx أو ppt)، وذلك لأول مرة منذ ثلاث سنوات.

 

استناداً إلى بيانات ملايين النقاط الطرفية التي تشغل نظام HP Wolf Security الأمني، وجد التقرير أن 44% من البرمجيات الخبيثة انتقلت عبر الملفات المضغوطة، بزيادة قدرها 11% عن الربع الثاني من العام. بينما انتقلت 32% من هذه البرمجيات من خلال الملفات المكتبية المختلفة.

 

كما ذكر التقرير كون العديد من الهجمات تستغل ميزات مشروعة لكل من HTML5 وJavascript لتمويه البرمجيات الخبيثة عبر وضعها في ملفات مضغوطة يتم تمويهها ضمن ملفات HTML واستخدامها لإجراء هجمات داخلية وعالية الخطورة.

 

على سبيل المثال، استخدمت هجمات Qakbot وIceid ملفات HTML لتوجيه المستخدمين إلى مواقع مزيفة لعرض الوثائق تموّه نفسها على أنها لشركة Adobe. بعد ذلك، يُطلب من المستخدمين فتح ملف مضغوط مشفر وإدخال كلمة مرور لفك الضغط، والتي بدورها تنشر البرمجيات الخبيثة على أجهزة المستخدمين.

 

يعتمد المخترقون على الهندسة الاجتماعية لخداع المستخدمين بشكل متزايد. حيث يصنعون موقعاً متقناً لإقناع المستخدمين على فتح الملفات المضغوطة الخبيثة. كما استخدم مجموعة من المخترقين صفحات مزيفة تنتحل شكل منصة Google Drive لخداع المستخدمين وجعلهم يحملون الملفات المضغوطة الخبيثة.

 

كشف تقرير HP Wolf Security عن حملة هجمات معقدة تستخدم سلسلة إصابة معيارية أيضاً. مما قد يمكن المخترقين من تغيير نوع الاختراق تماماً خلال الحملة عبر تغيير نوع البرمجيات الخبيثة المستخدمة (مثل برمجيات التجسس وبرمجيات الفدية وغيرها)، أو إضافة ميزات جديدة على الهجمات (مثل تتبع موقع الضحية عبر السياج الجغرافي).

 

فعبر سلسلة الإصابة المعيارية، يمكن للمهاجمين تغيير سلوكياتهم بناءً على حاجاتهم وغاياتهم وضحاياهم. ومن الصعب الكشف عن هذا النوع من الهجمات المتغيرة أيضاً لأن البرمجيات الخبيثة لا تكون مضمنة بشكل مباشر داخل المرفق الذي يتم ارساله إلى الضحية.