RAR en ZIP meest gebruikte bestanden
Het afgelopen jaar heeft zich een omslag voorgedaan wat betreft de gevaarlijke bestanden die met malware in verband worden gebracht. Archiefbestanden zoals RAR en ZIP worden nu vaker gebruikt voor de verspreiding van malware dan Office documenten zoals Word en PDF. Al jaren misbruiken aanvallers de scriptfunctionaliteit in Office documenten om kwaadaardige inhoud te downloaden en uit te voeren. Omdat deze scriptfunctionaliteit in Office steeds vaker wordt uitgeschakeld, hebben cybercriminelen een andere methode gevonden, namelijk via archiefbestanden. Uit onderzoek van HP Wolf Security blijkt dat archiefbestanden nu 44% uitmaken van de bestanden die worden gebruikt om malware te installeren. Office documenten maken ook 32% uit. Dit betekent dat archiefdocumenten op de eerste plaats komen. Beveiligingsoplossingen hebben om verschillende redenen moeite om archiefbestanden goed te controleren.
Reden voor het toegenomen gebruik van RAR- en ZIP-bestanden
Archiefbestanden zijn vaak beveiligd met een wachtwoord. Hierdoor kunnen beveiligingsoplossingen het bestand niet openen en scannen op gevaarlijke inhoud. Cybercriminelen weten dit en proberen vertrouwen op te bouwen door slim gebruik te maken van social engineering en legitiem ogende websites. Zodra een gebruiker de website of e-mail van een cybercrimineel vertrouwt, is de kans groter dat hij het archiefbestand opent. Cybercriminelen gebruiken vaak websites of HTML-bestanden om gebruikers om te leiden naar valse online documentviewers. In het oorspronkelijke HTML-bestand is de malware gecodeerd en versleuteld, waardoor het onmogelijk is voor detectie door e-mailgateways of andere beveiligingsprogramma’s. Vanuit die documentviewer worden gebruikers vervolgens gevraagd een archiefbestand te openen met een specifiek wachtwoord, zodat het (door de gebruiker gezochte) document kan worden geopend. Bij het openen van het archiefbestand wordt de malware geplaatst.
