Νέα μορφή παίρνουν, πλέον, οι επιθέσεις με τεχνικές «living-off-the-land», σύμφωνα με την τελευταία έκθεση HP Threat Insights Report που δόθηκε. Η έρευνα αποκαλύπτει πώς οι επιτιθέμενοι επιθετικοί κρύβουν κακόβουλο κώδικα μέσα σε εικόνες pixel και εκμεταλλεύονται ενσωματωμένα εργαλεία των Windows για να μολύνουν υπολογιστές, να διαγράψουν αποδεικτικά στοιχεία και να παραμείνουν απαρατήρητοι.

Η πρακτική αυτή, που συνδυάζει την οπτική εξαπάτηση με την κατάχρηση νόμιμων λειτουργιών ενός συστήματος, καθιστά όλο και πιο δύσκολη την ανίχνευση από τα παραδοσιακά εργαλεία ασφαλείας, που βασίζονται στην υπογραφή ή στα μοτίβα συμπεριφοράς. Σε πραγματικά περιστατικά που ανέλυσαν οι ερευνητές απειλών της HP, παρατηρήθηκαν εκστρατείες, όπου ένα ψεύτικο αρχείο, που μοιάζει με Adobe Reader, έκρυβε ένα αντίστροφο κέλυφος μέσα σε μικρή εικόνα SVG.

Η τελευταία έκθεση HP Threat Insights αποκαλύπτει πώς οι επιτιθέμενοι κρύβουν κακόβουλο κώδικα σε εικόνες και πλαστά PDF

Η «ψευδαίσθηση συνεχιζόμενης λήψης» αύξησε την πιθανότητα οι χρήστες να ανοίξουν το αρχείο. Μάλιστα, όπως παρατηρεί η έκθεση της εταιρείας, οι δράστες περιορίζουν γεωγραφικά τις λήψεις για να καθυστερήσουν την ανίχνευση. Άλλες εκστρατείες χρησιμοποίησαν αρχεία Microsoft Compiled HTML Help και εικόνες pixel για να κρύψουν payloads, όπως το XWorm, τα οποία εξάγονταν και εκτελούνταν σε αλυσίδα μολύνσεων χρησιμοποιώντας πολλαπλές τεχνικές LOTL, με το PowerShell και αρχεία CMD να σβήνουν τα ίχνη μετά την εκτέλεση.

Αξιόπιστα εργαλεία

Οι αναλυτές εντόπισαν, επίσης, την αναβίωση του Lumma Stealer, που διαδίδεται μέσω αρχείων IMG και πολλαπλών καναλιών, εκμεταλλευόμενο αξιόπιστα εργαλεία συστήματος, ώστε να παρακάμπτει φίλτρα ασφαλείας. Παρά τις κατασταλτικές ενέργειες νωρίτερα το 2025, οι υποδομές και τα domains ανανεώθηκαν και οι εκστρατείες συνεχίστηκαν.

Η παρατηρούμενη τάση δείχνει πως οι δράστες δεν επινοούν νέα όπλα κάθε φορά, αλλά βελτιστοποιούν παλιές τεχνικές, συνδυάζοντας απλότητα και ευελιξία, ώστε τα κακόβουλα σενάρια να διεισδύουν αθόρυβα.

Στο κέντρο του προβλήματος βρίσκεται το δίλημμα, που θέτουν οι τεχνικές LOTL στις ομάδες ασφάλειας. Τα εργαλεία και οι διεργασίες, που χρησιμοποιούνται για επιθέσεις, είναι συχνά νόμιμες λειτουργίες του λειτουργικού και η επιβολή περιορισμών μπορεί να προκαλέσει λειτουργικά προβλήματα και αύξηση των αιτήσεων προς τα SOC.

Η HP στην έκθεσή της επισημαίνει την ανάγκη για βαθιά άμυνα, που βασίζεται στον περιορισμό και την απομόνωση, ώστε να παγιδεύονται οι επιθέσεις πριν προλάβουν να προκαλέσουν ζημιά.

Η έκθεση βασίζεται σε δεδομένα από εκατομμύρια τερματικά, που εκτελούν HP Wolf Security και καλύπτει το διάστημα Απριλίου-Ιουνίου 2025. Τα ευρήματα δείχνουν ότι σημαντικό ποσοστό απειλών παρακάμπτει σαρωτές πύλης email και ότι αρχεία αρχειοθέτησης, εκτελέσιμα και σενάρια παραμένουν βασικά κανάλια παράδοσης, ενώ η χρήση μη προφανών αρχείων και η γεωγραφικά στοχευμένη διανομή μπερδεύουν τα αυτοματοποιημένα συστήματα.

Το συμπέρασμα της HP είναι σαφές: οι επιχειρήσεις πρέπει να επενδύσουν σε πολυεπίπεδες στρατηγικές ασφάλειας, που δεν βασίζονται αποκλειστικά στην ανίχνευση, αλλά συνδυάζουν απομόνωση, περιορισμό προνομίων, έλεγχο συμπεριφοράς και ενημέρωση των χρηστών.