In haar Quarterly Threat Insights Report komt HP met een analyse van real-world aanvallen tegen klanten over de hele wereld. Uit het rapport blijkt dat 29% van de onderschepte malware voorheen onbekend was*. Dit is te wijten aan het wijdverbreide gebruik van packers en verduisteringstechnieken door aanvallers die aan detectie willen ontkomen. 88% van de malware werd via e-mail in de inbox van gebruikers afgeleverd, in veel gevallen nadat gateway-filters waren omzeild. Het duurde gemiddeld 8,8 dagen voordat bedreigingen via hash bij antivirusprogramma's bekend werden, waardoor hackers meer dan een week voorsprong hadden om hun acties voort te zetten.
Het rapport biedt een uniek inzicht in het gedrag van real-world malware, omdat - in tegenstelling tot andere endpoint-beveiligingstools, die gericht zijn op het voorkomen van of ingrijpen in een aanval - HP Sure Click malware laat draaien, malware verleidt tot uitvoering, terwijl een volledige infectieketen wordt vastgelegd binnen geïsoleerde, micro-virtuele machines. Deze, op hardware gebaseerde, benadering van beveiliging maakt malware onschadelijk en houdt klanten veilig.
Opmerkelijke bedreigingen waren onder meer:
- Exploits op webbrowsers die leidden tot FickerStealer: Een malware aanval via verkeerd gespelde domeinen van populaire instant messaging-diensten. Bezoekers werden omgeleid naar RigEK-landingspagina's die kwetsbaarheden in webbrowsers en plugin's probeerden uit te buiten om pc's van bezoekers te infecteren met informatie-stelende malware genaamd FickerStealer.
- Lokmiddelen met als thema 'bezorging' verleidden gebruikers ertoe de RAT's binnen te laten: Een nieuwe Office-malwarebuilder, APOMacroSploit, werd gebruikt om slachtoffers te lokken met spamcampagnes met als thema bezorging, waarbij ze werden verleid tot het openen van bewapende XLS-bijlagen, wat er uiteindelijk toe leidde dat de BitRAT Remote Access Trojan op hun computers werd geïnstalleerd.
- De terugkeer van ZLoader: Een toename van ZLoader banking Trojan activiteit, waarbij gebruik wordt gemaakt van een combinatie van technieken - waaronder Word-documenten die lijken op farmaceutische facturen, die kwaadaardige macro's pas uitvoeren nadat het document is gesloten.
- E-mail thread hijacking van overheidsdoelwitten: HP Sure Click stopte e-mail thread hijacking-aanvallen tegen overheidsorganisaties in Midden-Amerika, waar gestolen e-mailgegevens werden gebruikt om overtuigende phishinglokkers te maken voor de verspreiding van Emotet.
