Microsoft varuje pred viacerými malspamovými kampaňami nesúcimi škodlivé súbory s obrazmi disku

Microsoft tvrdí, že jeho pokročilé modely detekcie hrozieb strojového učenia pomohli jeho zamestnancom odhaliť viacero kampaní so škodlivým spamom (malspam), ktoré distribuujú súbory s obrazmi disku infikované malvérom.

Kampaň, zistená minulý týždeň, využíva návnady COVID-19 (predmet e-mailov), aby prinútila používateľov stiahnuť a spustiť prílohy súborov ISO alebo IMG.

Dnes v sérii tweetovMicrosoft uviedol, že tieto súbory sú infikované verziou trojanu Remcos pre vzdialený prístup (RAT), ktorý útočníkom poskytuje plnú kontrolu nad infikovanými hostiteľmi.

Microsoft tvrdí, že útočníci boli vytrvalí a spustili niekoľko rôznych spamov, ktoré sa zameriavajú na spoločnosti v rôznych odvetviach vo viacerých krajinách sveta. Medzi tie najväčšie patria spamy ako:

• Kampaň Remcos zameraná na americké malé podniky, ktoré chcú získať pôžičky pre katastrofy. V tomto prípade spoločnosti dostali e-maily, ktoré predstierali, že sú od US Small Business Administration (SBA), ktoré obsahujú škodlivú prílohu IMG (obraz disku). Súbor IMG obsahoval spustiteľný súbor, ktorý používa zavádzajúcu ikonu PDF. Po spustení spustiteľný súbor nainštaluje Remcos RAT.
• Kampaň zameraná na výrobné spoločnosti v Južnej Kórei. Útočníci poslali cieľovým organizáciám e-mail, ktorý sa vydáva za sieť zdravotných výstrah CDC (HAN), ktorá obsahovala škodlivé prílohy súborov ISO. Súbor ISO obsahoval škodlivý súbor SCR, ktorý nainštaloval Remcos.
• Ďalšia kampaň Remcos sa zamerala na účtovníkov v USA, pričom e-maily údajne obsahovali „aktualizácie súvisiace s COVID-19“ pre členov Americký inštitút CPAs. Prílohou bol archív ZIP obsahujúci kombináciu ISO + SCR videnú v juhokórejčine kampaň.

Konečný cieľ tejto operácie je v súčasnosti neznámy; aktéri hrozieb by však mohli vyhľadávať spoločnosti pre budúce útoky, ako je ransomvér, podvody BEC alebo priemyselná špionáž.

„Hlavnou vecou, ​​na ktorú sme naozaj chceli upozorniť a prečo to upútalo našu pozornosť, je COVID-19 návnady a tiež [kvôli] mierne odlišným technikám, ktoré sme našli, a typom príloh, ktorými sú odosielanie," Tanmay Ganacharya, riaditeľ pre bezpečnostný výskum Microsoft Threat Protection, povedal pre ZDNet v rozhovore.

„Používajú obrazové súbory a súbory ISO, čo nie je úplne bežné. Nie je to tak, že by sme to videli prvýkrát, ale nie je to príliš bežné, aby to útočníci robili."

Spoločnostiam, ktoré prijímajú tieto typy e-mailových príloh, sa neodporúča spúšťať pripojené súbory.

Tieto prebiehajúce útoky boli odhalené po tom, čo spoločnosť Microsoft zistila nejaké podozrivé správanie pri inštaláciách programu Defender.

96 % dnešných hrozieb sú súbory jedinečné pre každý počítač

Ganacharya pripísal stávku Microsoftu na strojové učenie ako dôvod, prečo si spoločnosť všimla túto kampaň na prvom mieste.

Dnes sa antivírusový produkt spoločnosti Microsoft vyvinul zo starých a zastaraných techník detekcie škodlivého softvéru na základe podpisov súborov.

Ganacharya hovorí, že polymorfizmus malvéru (malvér, ktorý v pravidelných intervaloch mutuje) a bezsúborový malvér (malvér, ktorý beží výlučne v pamäti RAM, bez stôp na disku) sú teraz široko používané. Vďaka tomu sú dodávatelia antivírusov vždy o krok za väčšinou operácií škodlivého softvéru, ak sa antivírus spolieha výlučne na zistenie prítomnosti známeho zlého súboru.

„Spektrum hrozieb sa tak výrazne zmenilo s bezsúborovými útokmi, s polymorfizmom. Vo viac ako 96 percentách hrozieb, ktoré vidíme na celom svete [...], je to jedinečný súbor na počítač,“ povedal Ganacharya.

Namiesto toho Ganacharya hovorí, že Microsoft Defender sa teraz spolieha na strojové učenie pri zisťovaní podozrivého správania, ktoré sa deje na hostiteľovi, a vydáva výstrahy pre svojich inžinierov, aby to mohli preskúmať.

V tomto všetkom sú modely strojového učenia Defenderu teraz hlavnou zbraňou spoločnosti proti neznámym útokom škodlivého softvéru a aktérom hrozieb a pomáhajú Microsoftu odhaliť útoky v ich najskoršom štádiu.

„Za posledné tri až štyri roky sme veľa investovali,“ povedal výkonný riaditeľ spoločnosti Microsoft. „Urobili sme dosť veľa investícií do pridávania motorov do Defenderu, okolo snímania sekvencie správanie, zachytávanie obsahu samotného súboru, strojový model strojového učenia na strane klienta, strojové učenie na strane cloudu modelové motory.

„Takže spôsob, akým o tom uvažujeme, je pre neznáme hrozby, pre nové a vznikajúce hrozby, spoliehame sa veľmi, veľmi silno, na strojové učenie, ktoré vykonáva buď klasifikáciu obsahu alebo sekvenciu správania klasifikácia.

"V našich produktoch mnohokrát uvidíte, že niektoré z týchto typov modelov zachránia nulu pacienta," povedal Ganacharya.