Útočníci zneužívají realistické PDF faktury k podvodům, varuje HP v novém průzkumu

HP Inc. vydala svůj nejnovější Threat Insights Report, který ukazuje, jak stále častější používání kombinace technik „living-off-the-land“ (LOTL – využití běžně dostupných nástrojů a funkcí systému k provádění útoků) a phishingu obchází tradiční nástroje pro detekci bezpečnostních hrozeb. Tyto techniky, kdy útočníci využívají legitimní nástroje a funkce počítače k provedení útoku, jsou už dlouho součástí výbavy kyberzločinců. HP však varuje, že stále častější zneužití různých, často neobvyklých binárních souborů v rámci jedné kampaně, ztěžuje rozlišování mezi škodlivou a legitimní aktivitou.

Threat Insights Report poskytuje analýzu reálných kyberútoků a pomáhá organizacím držet krok s nejnovějšími technikami, jakými se kyberzločinci vyhýbají detekci a pronikají do IT systémů v rychle se vyvíjejícím prostředí kybernetické kriminality. Na základě dat z milionů koncových zařízení využívajících HP Wolf Security identifikoval tým HP následující kampaně:

• Falešné PDF faktury v Adobe Reader: útočníci připojili skript, který umožňuje vzdálený přístup k napadenému zařízení. Tento skript byl ukrytý v malé SVG návnadě, která vypadala jako realistická faktura PDF s falešným načítacím barem, což mělo navýšit šance na otevření souboru a spuštění infekčního řetězce.
• Malware skrytý v pixelech obrázků: útočníci využili soubory Microsoft Compiled HTML Help k tomu, aby ukryli škodlivý kód v pixelech obrázků. Tyto soubory byly maskované jako projektové dokumenty a obsahovaly XWorm payload, který následně vykonal několik kroků infekčního řetězce zahrnujícího techniky LOTL. PowerShell byl použit pro spuštění CMD souboru, který odstranil důkazy o stažených souborech.
• Lumma Stealer v IMG archivech: Lumma Stealer byla jedna z nejaktivnějších rodin malwaru v druhém čtvrtletí. Útočníci jej distribuovali pomocí archivních souborů IMG, které využívaly techniky LOTL k obcházení bezpečnostních filtrů.

Alex Holland, hlavní výzkumník v HP Security Lab, komentuje aktuální situaci následovně: „Útočníci nevyvíjejí nové metody, ale zdokonalují ty stávající. Techniky living-off-the-land, reverzní shelly a phishing jsou tu už desetiletí, ale dnešní hackeři je stále vylepšují. Vidíme častější propojení nástrojů living-off-the-land a používání méně nápadných typů souborů, jako jsou obrázky, k obcházení detekce. Vezměme si například reverzní shelly – nemusíte nasazovat plně funkční RAT (Remote Access Trojan), kdyžstačí jednoduchý a tenký skript, který dosáhne stejného efektu. Je to jednoduché, rychlé a často to unikne pozornosti, protože je to tak triviální.“

Popsané kampaně ukazují, jak kreativní a adaptabilní útočníci jsou. Skrytí škodlivého kódu v obrázcích, zneužívání důvěryhodných systémových nástrojů, a dokonce přizpůsobování útoků konkrétním regionům, činí detekci pomocí tradičních nástrojů stále obtížnější.

Izolace hrozeb, které unikly detekčním nástrojům na počítačích, a zároveň možnost bezpečné detonace malwaru uvnitř zabezpečených kontejnerů, dávají HP Wolf Security konkrétní přehled o nejnovějších technikách, které kyberzločinci používají. Do dnešního dne zákazníci HP Wolf Security klikli na více než 55 miliard e-mailových příloh, webových stránek a stažených souborů, aniž by došlo k hlášeným narušením bezpečnosti.

Threat Insights Report, který zkoumal data z období duben–červen 2025, podrobně popisuje, jak kyberzločinci i nadále diverzifikují své metody útoků, aby obcházeli bezpečnostní nástroje založené na detekci. Zde jdou klíčová zjištění:

• Alespoň 13 % hrozeb v e-mailech identifikovaných pomocí HP Sure Click obcházelo jeden nebo více skenerů bran;
• Archivní soubory byly nejpopulárnějším způsobem doručení (40 %), následovaly spustitelné soubory a skripty (35 %);
• Útočníci i nadále používají .rar archivy (26 %), což naznačuje, že zneužívají důvěryhodný software jako například WinRAR k tomu, aby nevzbudili podezření.

Dr. Ian Pratt, globální vedoucí bezpečnosti pro osobní systémy ve společnosti HP Inc., říká: „Techniky living-off-the-land jsou problematické a těžko řešitelné, protože je těžké rozlišit legitimní aktivitu od útoku. Jste mezi dvěma kameny – buď zablokujete aktivitu, což může způsobit problémy uživatelům a vytvořit nutnost otevřít tiket pro SOC, nebo to necháte otevřené a riskujete, že útočník projde. I ten nejlepší detekční systém některé hrozby přehlédne, proto je nezbytné mít víceúrovňovou obranu s izolací a blokováním útoků, aby byly zadrženy dříve, než způsobí škody.“

Data byla získána se souhlasem zákazníků HP Wolf Security v dubnu a červnu 2025, průzkum provedl tým HP Threat Research.

Zdroj: HP