有关恶意宏和网络犯罪经济的六个关键事实

“网络犯罪是一笔大生意,犯罪分子越来越多地利用人们来规避自动保护系统。在过去的九个月中,网络罪犯越来越多地使用具有成本效益的宏指令来达到更多目标,并获得更大的金融投资回报。


Proofpoint将来自顶级恶意宏开发人员的恶意软件样本的技术分析与对地下网络犯罪论坛的调查相结合,发现恶意宏的高成功率和成本效益迅速且显着地改变了电子邮件传播威胁的态势。

在2014年下半年之前,网络犯罪分子绝大多数依靠恶意URL在大量未经请求的电子邮件网络钓鱼活动中传播恶意软件。

2014年9月,随着有组织的网络犯罪网络钓鱼活动(主要传播Dridex银行木马)采用恶意的Microsoft Word文档附件作为主要传递工具,策略发生了重大变化。

进入2015年中期,这一趋势将继续加速,Proofpoint研究人员在2015年4月至5月期间记录了56个不同的Dridex活动,在某些情况下,一天之内传送了数百万封包含Dridex文档的电子邮件。

六个关键事实包括:

1.竞选活动严重依赖人为因素。 看似简单灵活的恶意宏,已将基于URL的威胁替换为基于附件的活动,成为主要威胁,其根源在于其使用网络钓鱼技术来利用人为因素并诱骗最终用户点击的能力,从而避免了许多自动化操作。沙盒检查。

2.宏运动越来越复杂,并逃避了许多现代检测策略,包括沙箱。 当今的宏运动在逃避传统签名和基于信誉的防御措施以及新型行为沙箱方面均取得了巨大成功。

3.有效性是主要动力。 日益复杂的恶意宏的高成功率和成本效益推动了基于恶意软件的电子邮件攻击的转变。

4.恶意宏附件运动的规模和频率都有所增加。 Proofpoint预计,恶意宏运动将继续增长,直到成本增加或有效性下降到不再提供可观的ROI为止。

5.精湛的演员领导这场运动。 尽管恶意宏为攻击者提供了较低的进入门槛,但主要的攻击活动仍在驱动恶意软件,包括Dyre和Dridex。只有最老练的攻击者才能成功利用这些活动。

6.较低的成本和较高的可访问性可促进攻击者的成功。 恶意文档(或maldoc)活动的预算范围从零到$ 1,000。此外,基于附件的不请自来的电子邮件活动可能会超过漏洞利用工具包(EK)的流行程度。尽管提供了一系列垃圾邮件服务,但是大多数EK服务都是在私人圈子中出售的,入门级和中级犯罪分子不容易使用。

依靠Macros避风港的攻击’相信不要让年龄变弱,使他们在网络上造成严重破坏,并设计了各种技巧来说服收件人使他们能够使用Microsoft Word 克里斯·博伊德,Malwarebytes的恶意软件情报分析师。

“声称文档中的单词已经“encrypted”,或者文件已损坏,并且需要启用宏才能查看它,这会使整个组织陷入瘫痪’的防御措施如果不仔细的话。对员工进行网络钓鱼危险的培训始终是一个好主意,但我们需要确保使他们意识到黑客将一些相同的社会工程手段转向其恶意附件所带来的危险。对于许多企业而言,可能介于它们之间以及无生产力的日子可能只有一名员工和一名员工。“Enable content” button,” Boyd added.”

分享这个