Útočníci zneužívajú realistické PDF faktúry na podvody, varuje HP v novom prieskume

• Pokročilý phishing: Útočníci zdokonaľujú napodobňovanie bežných nástrojov, v súčasnosti hlavne návnady v PDF.
• Skrývaný malware: Škodlivý kód ukrytý v dátach pixelov obrázkov dokáže infikovať používateľa a následne zamaskovať stopy.
• Využívanie legitímnych nástrojov: Útočníci používajú techniky „living-off-the-land“ (využívanie bežne dostupných nástrojov a funkcií systému) na obchádzanie detekčných mechanizmov.

Spoločnosť HP Inc. vydala svoju najnovšiu správu Threat Insights Report, ktorá ukazuje, ako čoraz častejšie kombinovanie techník „living-off-the-land“ (LOTL – využívanie bežne dostupných nástrojov a funkcií systému na realizáciu útokov) s phishingom obchádza tradičné nástroje na detekciu bezpečnostných hrozieb. Tieto techniky, keď útočníci zneužívajú legitímne nástroje a funkcie počítača na vykonanie útoku, sú už dlhodobo súčasťou arzenálu kyberzločincov. HP však varuje, že častejšie zneužívanie rôznych, často netradičných binárnych súborov v rámci jednej kampane sťažuje rozlíšenie medzi škodlivou a legitímnou aktivitou.

Správa Threat Insights poskytuje analýzu reálnych kyberútokov a pomáha organizáciám držať krok s najnovšími technikami, ktorými sa kyberzločinci vyhýbajú detekcii a prenikajú do IT systémov v rýchlo sa vyvíjajúcom prostredí kyberkriminality. Na základe dát z miliónov endpointov využívajúcich HP Wolf Security identifikoval tím HP nasledujúce kampane:

• Falošné PDF faktúry v Adobe Reader: útočníci pripojili skript, ktorý umožňoval vzdialený prístup k napadnutému zariadeniu. Tento skript bol ukrytý v malej SVG návnade, ktorá vyzerala ako realistická PDF faktúra s falošným načítacím panelom, čo malo zvýšiť pravdepodobnosť otvorenia súboru a spustenia infekčného reťazca.
• Malware ukrytý v pixeloch obrázkov: útočníci využili súbory Microsoft Compiled HTML Help na skrytie škodlivého kódu v pixeloch obrázkov. Tieto súbory boli maskované ako projektové dokumenty a obsahovali payload XWorm, ktorý následne vykonal niekoľko krokov infekčného reťazca zahŕňajúcich techniky LOTL. PowerShell bol použitý na spustenie CMD súboru, ktorý odstránil stopy o stiahnutých súboroch.
• Lumma Stealer v IMG archívoch: Lumma Stealer bola jednou z najaktívnejších rodín malvéru v druhom kvartáli. Útočníci ho distribuovali pomocou archívnych súborov IMG, ktoré využívali techniky LOTL na obchádzanie bezpečnostných filtrov.

Alex Holland, hlavný výskumník v HP Security Lab, situáciu komentuje takto: „Útočníci nevyvíjajú úplne nové metódy, skôr zdokonaľujú tie existujúce. Techniky living-off-the-land, reverzné shelly a phishing sú tu už desaťročia, no dnešní hackeri ich stále vylepšujú. Vidíme častejšie prepojenie nástrojov living-off-the-land a používanie menej nápadných typov súborov, ako sú obrázky, na obchádzanie detekcie. Vezmime si napríklad reverzné shelly – nemusíte nasadiť plne funkčný RAT (Remote Access Trojan), keď stačí jednoduchý a nenápadný skript, ktorý dosiahne rovnaký efekt. Je to jednoduché, rýchle a často unikne pozornosti práve preto, že ide o banálne riešenia.“

Popísané kampane ukazujú, akí sú útočníci kreatívni a adaptabilní. Skrytie škodlivého kódu v obrázkoch, zneužívanie dôveryhodných systémových nástrojov a dokonca regionalizácia útokov sťažujú detekciu tradičnými metódami.

Izolovanie hrozieb, ktoré unikli detekčným nástrojom na endpointoch, a zároveň možnosť bezpečne detonovať malvér v zabezpečených kontajneroch, poskytujú HP Wolf Security konkrétny prehľad o najnovších technikách používaných kyberzločincami. Doteraz zákazníci HP Wolf Security klikli na viac než 55 miliárd e-mailových príloh, webových stránok a stiahnutých súborov bez hláseného narušenia bezpečnosti.

Správa Threat Insights, ktorá skúmala dáta za obdobie apríl až jún 2025, podrobne opisuje, ako kyberzločinci naďalej diverzifikujú svoje metódy útokov, aby obchádzali detekciu založenú na signatúrach. Tu sú hlavné zistenia:

• Prinajmenej 13 % hrozieb v e-mailoch identifikovaných pomocou HP Sure Click obchádzalo jeden alebo viac bránových skenerov;
• Archívne súbory boli najpopulárnejším spôsobom doručenia (40 %), nasledovali spustiteľné súbory a skripty (35 %);
• Útočníci aj naďalej používajú .rar archívy (26 %), čo naznačuje, že zneužívajú dôveryhodný softvér, ako napríklad WinRAR, aby nevzbudili podozrenie.

Dr. Ian Pratt, globálny šéf bezpečnosti pre osobné systémy v spoločnosti HP Inc., hovorí: „Techniky living-off-the-land sú problematické a ťažko riešiteľné, pretože je ťažké rozlíšiť legitímnu aktivitu od útoku. Ste medzi dvoma kameňmi – buď aktivitu zablokujete, čo môže spôsobiť problémy používateľom a vyvolať potrebu tiketovania v SOC, alebo ju necháte otvorenú a riskujete, že útočník prejde. Aj ten najlepší detekčný systém niektoré hrozby prehliadne, preto je nevyhnutné mať viacvrstvovú obranu s izoláciou a blokovaním útokov, aby boli zadržané skôr, než spôsobia škody.“

Pre zobrazenie Threat Rsearch navštívte, prosím, náš blog.

Dáta boli získané so súhlasom zákazníkov HP Wolf Security v apríli až júni 2025; prieskum vykonal tím HP Threat Research.

HP Wolf Security[1] predstavuje špičkové zabezpečenie endpointov. Portfólio bezpečnostných riešení spoločnosti HP, založené na hardvérovej ochrane a službách zameraných na endpointy, pomáha organizáciám chrániť počítače, tlačiarne a používateľov pred kybernetickými hrozbami. HP Wolf Security ponúka komplexnú ochranu a odolnosť, ktorá začína na úrovni hardvéru a zahŕňa aj softvér a služby. Viac informácií nájdete na https://hp.com/wolf.

O spoločnosti HP

Spoločnosť HP Inc. (NYSE: HPQ) je celosvetovým lídrom v oblasti technológií a tvorcom riešení, ktoré umožňujú ľuďom realizovať ich nápady a venovať sa veciam, na ktorých im najviac záleží. Spoločnosť HP pôsobí vo viac ako 170 krajinách sveta a ponúka širokú škálu inovatívnych a udržateľných zariadení, služieb a predplatiteľských programov pre osobné počítače, klasickú aj 3D tlač, hybridnú prácu, hranie hier a ďalšie oblasti. Viac informácií o spoločnosti HP Inc nájdete na: www.hp.com