ארבעת החודשים האחרונים היו הזמן של חופשות הקיץ עבור רבים מאיתנו בחצי הכדור הצפוני. נראה שחלק ממפעילי תוכנות זדוניות גם לקחו את הזמן הזה כהזדמנות אולי לנוח, להתמקד מחדש ולנתח מחדש את הנהלים והפעילויות הנוכחיים שלהם.

לפי הטלמטריה שלנו, אוגוסט היה חודש חופשה עבור המפעילים של עמק, זן ההורדות המשפיע ביותר. החבורה שעומדת מאחוריו גם הסתגלה להחלטתה של מיקרוסופט להשבית פקודות מאקרו VBA במסמכים שמקורם באינטרנט והתמקדה בקמפיינים המבוססים על קבצי Microsoft Office המכילים נשק וקבצי LNK.

ב-T2 2022 ראינו את המשך הירידה החדה של מתקפות Remote Desktop Protocol (RDP), שככל הנראה המשיכו לאבד את קיטורן עקב מלחמת רוסיה-אוקראינה, יחד עם החזרה שלאחר ה-COVID למשרדים ושיפור כללי האבטחה של סביבות ארגוניות.

גם עם ירידה במספרים, כתובות IP רוסיות המשיכו להיות אחראיות לחלק הגדול ביותר של התקפות RDP. ב-T1 2022, רוסיה הייתה גם המדינה שהייתה ממוקדת ביותר על ידי תוכנות כופר, כאשר חלק מהתקיפות היו מניעים פוליטיים או אידיאולוגיים על ידי המלחמה. עם זאת, כפי שתקרא בדוח האיומים של ESET T2 2022, גל ההאקטיביזם הזה ירד ב-T2, ומפעילי תוכנות כופר הפנו את תשומת לבם לארצות הברית, סין וישראל.

במונחים של איומים המשפיעים בעיקר על משתמשים ביתיים, ראינו עלייה של פי שישה בזיהויים של פתיונות דיוג בנושאי משלוח, רוב הזמן מציגים בפני הקורבנות בקשות מזויפות של DHL ו-USPS לאימות כתובות למשלוח.

רחפן אינטרנט הידוע בשם Magecart, שראה עלייה פי שלושה ב-T1 2022, המשיך להיות האיום המוביל אחרי פרטי כרטיס האשראי של קונים מקוונים. שערי החליפין הצניחים השפיעו גם על איומים מקוונים - פושעים פנו לגנוב מטבעות קריפטוגרפיים במקום לכרות אותם, כפי שניתן לראות בגידול פי שניים בפתיונות דיוג בנושא מטבעות קריפטוגרפיים ובמספר הגובר של גונבי קריפטו.

ארבעת החודשים האחרונים היו מעניינים גם במונחי מחקר. החוקרים שלנו חשפו דבר שלא היה ידוע קודם לכן דלת אחורית של macOS ומאוחר יותר ייחס אותו ל-ScarCruft, גילה גרסה מעודכנת של קבוצת Sandworm APT טוען תוכנות זדוניות ArguePatch, חשף את לזרוס מטענים in אפליקציות טרויאניות, וניתח מופע של לזרוס מבצע קבלה מיקוד למכשירי macOS תוך כדי דיוג במים קריפטו. הם גם גילו פגיעויות של גלישת מאגר בקושחה של Lenovo UEFI ובקמפיין חדש באמצעות א עדכון Salesforce מזויף בתור פיתוי.

במהלך החודשים האחרונים, המשכנו לחלוק את הידע שלנו בוועידות אבטחת הסייבר של מונטריאול, Black Hat USA, RSA, CODE BLUE, Sector, REcon, LABSCon ו-BSides Montreal, שם חשפנו את הממצאים שלנו לגבי מסעות פרסום שנפרסו על ידי OilRig, APT35, אגריוס, תולעי חול, לזרוס ופולוניום. דיברנו גם על עתיד איומי UEFI, ניתחנו את המטען הייחודי שקראנו לו Wslink, והסברנו כיצד ESET Research מבצעת ייחוס של איומים ומסעות פרסום זדוניים. לחודשים הקרובים, אנו שמחים להזמין אותך לשיחות ESET ב-AVAR, Ekoparty ועוד רבים אחרים.

אני מאחל לך קריאה מלאת תובנות.

עקבו מחקר ESET בטוויטר לעדכונים שוטפים על מגמות מפתח ואיומים מובילים.