Top 4 formata fajlova koje spameri najčešće koriste za sakrivanje malvera u emailovima

Anti-spam, 06.06.2019, 10:00 AM

Spameri šalju milijarde poruka svakog dana. Uglavnom je to banalno reklamiranje - dosadno, ali generalno bezopasno. Ali, s vremena na vreme, među bezopasnim porukama nađe se po neka poruka koja sadrži maliciozni fajl.

Da bi izazvali primaoca da otvori opasni fajl, spameri se trude da on izgleda kao nešto zanimljivo, korisno ili važno: poslovni dokument, odlična ponuda, poklon kartica sa logom poznate kompanije itd.

Distributeri zlonamernih programa imaju svoje “ljubimce” među formatima fajlova u kojima najčešće kriju svoje malvere.

1. ZIP i RAR arhive

Sajber kriminalci vole da kriju malvere u ZIP i RAR fajlovima. Na primer, ZIP fajlovi pod nazivom Love_You0891 (broj je varirao) su sredinom februara korišćeni za distribuciju GandCrab ransomwarea. Nekoliko nedelja kasnije ova vrsta fajlova korišćena je za distribuciju Qbot trojanca, koji je specijalizovan za krađu podataka.

Ove godine je otkriven zanimljiv bag u WinRAR - prilikom kreiranja arhive možete postaviti pravila za raspakivanje sadržaja u sistemski folder. Konkretno, sadržaj može završiti u Windows startup folderu, pa se fajl pokreće sa svakim pokretanjem sistema. Bag je ispravljen, a ako još uvek niste, trebalo bi da odmah ažurirate WinRAR.

2. Microsoft Office dokumenti

Microsoft Office fajlovi, posebno Word dokumenti (DOC, DOCX), Excel tabele (XLS, XLXS, XLSM), prezentacije i templejtovi, takođe su popularni kod sajber kriminalaca. Ovi fajlovi mogu da sadrže ugrađene makroe - male programe koji se pokreću unutar fajla. Sajber kriminalci koriste makroe kao skripte za preuzimanje malvera.

Ovi fajlovi se koriste najčešće za napade na one koji rade u kancelarijama. Oni se predstavljaju kao ugovori, računi, obaveštenja o porezima i hitne poruke viših rukovodioca. Na taj način je italijanskim korisnicima bio podmetnut bankarski trojanac koji nosi ime Ursnif. Ako bi žrtva otvorila fajl i pristala da omogući makroe (koji su podrazumevano onemogućeni iz bezbednosnih razloga), trojanac bi bio preuzet.

3. PDF fajlovi

Mnogi ljudi znaju o opasnostima makroa u Microsoft Office dokumentima, ali su često manje svesni zamki u PDF fajlovima. PDF fajlovi mogu da kriju malvere. Format se može koristiti za kreiranje i pokretanje JavaScript fajlova.

Sajber kriminalci vole da sakrivaju fišing linkve u PDF dokumentima. Na primer, u jednoj spam kampanji, prevaranti su podsticali korisnike da idu na “sigurnu” stranicu na kojoj se od njih tražilo da se prijave na svoj American Express račun. Njihovi podaci odmah su prosleđivani prevarantima.

4. ISO i IMG fajlovi

U poređenju sa prethodnim, ISO i IMG fajlovi se ne koriste često. Međutim, u poslednje vreme im se posvećuje veća pažnja. Takvi fajlovi su u osnovi virtualna kopija CD-a, DVD-a ili drugog diska.

Napadači su ih koristili na primer za isporučivanje malvera, kao što je Agent Tesla trojanac, koji je specijalizovan za krađu lozinki. Unutar fajla bila je zlonamerni izvršni fajl koji je, kada se pokrene, instalirao špijunski softver na uređaju. Zanimljivo je da su u nekim slučajevima sajber-kriminalci koristili ISO i DOC fajlove zajedno, da bi osigurali infekciju.

Kako se treba ponašati sa potencijalno opasnim prilozima u emailovima

Prebacivanje svih poruka sa arhivom u prilogu ili DOCX/PDF fajlom u folder za neželjenom poštom bi bilo previše. Umesto toga, da biste prevarili prevarante, zapamtite nekoliko jednostavnih pravila:

√ Ne otvarajte sumnjive emailove sa nepoznatih adresa. Ako ne znate zašto vam je neka poruka poslata, najverovatnije je da vam nije potrebna.

√ Ako vaš posao uključuje prepisku sa nepoznatim osobama, pažljivo proverite adresu pošiljaoca i naziv priloga. Ako nešto izgleda čudno, ne otvarajte.

√ Ne dozvolite pokretanje makroa u dokumentima koji stižu elektronskom poštom, osim ako ste sigurni da morate.

√ Oprezno sa svim linkovima u fajlovima. Ako ne shvatate zašto se od vas traži da otvorite link, ignorišite ga. Ako smatrate da morate da otvorite link, ručno unesite adresu relevantnog web sajta u vašem pregledaču.

√ Koristite pouzdano bezbednosno rešenje koje će vas obavestiti o opasnim fajlovima i blokirati ih, a takođe će objaviti upozorenje ako pokušate da odete na sumnjivi sajt.

Izvor: Kaspersky.com