Na drugim miejscu w tym rankingu znalazły się dokumenty i pliki wytwarzane przy użyciu aplikacji wchodzących w skład pakietu Office. Badanie przeprowadzone na zlecenie firmy HP Wolf Security wykazało, że 42% prób przeprowadzenia ataków szkodliwego oprogramowania wykorzystywało pliki skompresowane przy użyciu protokołów ZIP i RAR.

Wbrew wcześniejszym przypuszczeniom oznacza to, że cyberataki próbujące wykorzystać formaty ZIP i RAR są jednak bardziej powszechne niż te, które próbują dostarczyć złośliwe oprogramowanie przy użyciu dokumentów Microsoft Office, takich jak pliki Word i Excel, które od dawna są preferowaną metodą nakłaniania ofiar do pobierania złośliwego oprogramowania.

Zobacz również:

• Ponad pół miliona kont Roku w niebezpieczeństwie po ataku
• Co trzecia firma w Polsce z cyberincydentem

Tym samym po raz pierwszy od ponad trzech lat zarchiwizowane pliki ZIP i RAR prześcignęły pliki pakietu Microsoft Office, jako najpowszechniejszy sposób dostarczania szkodliwego oprogramowania. Szyfrowanie złośliwego malware’u i ukrywanie go w archiwach ma tę zaletę, że pozwala hakerom omijać wiele zabezpieczeń. Archiwa są przy tym łatwe do zaszyfrowania i pozwalają omijać serwery proxy, piaskownice lub skanery poczty e-mail.

Hakerzy tworzą najczęściej phishingowe maile wyglądające tak, jakby ich autorem były znane firmy. Maile takie które próbują nakłonić użytkownika do otwarcia i uruchomienia złośliwego pliku, który po uruchomieniu wyświetla pracującą w trybie online, przygotowaną przez hakera fałszywą przeglądarkę dokumentów. Ma ona za zadanie zdekodowanie archiwum ZIP.

Według HP Wolf Security, jedna z najbardziej znanych kampanii złośliwego oprogramowania, która wykorzystuje archiwa, nosi nazwę Qakbot. Malware nie tylko kradnie dane, ale zagnieżdża w pamięci ofiary backdoor, który jest najczęściej wykorzystywany do przeprowadzania ataków ransomware. Kampania była świetnie przygotowana i hakerzy dołożyły wszelkich starań, aby wiadomości e-mail i fałszywe strony HTML wyglądały na wiarygodne, chcąc w ten sposób oszukać jak najwięcej ofiar.

Qakbot narobił wiele szkód we wrześniu, rozsyłając olbrzymią ilość wiadomości e-mail odsyłających użytkownika do dokumentów mających postać archiwum, które należy otworzyć. Jeśli archiwum zostało uruchomione, wykorzystywało złośliwe polecenia do pobrania i wykonania ładunku w postaci biblioteki dołączanej dynamicznie, a następnie uruchamiane przy użyciu legalnych – ale często nadużywanych – narzędzi w systemie Windows.