По данным компании Sophos, занимающейся кибербезопасностью, доля вредоносных программ, использующих TLS или Transport Layer Security для обмена данными без обнаружения, резко выросла.
Хотя HTTPS и помогает предотвратить некоторые утечки данных, он также может быть использован и злоумышленниками для закрытого обмена информацией между веб-сайтом и сервером управления вредоносным ПО.
«Поэтому неудивительно, что операторы вредоносных программ также внедряют TLS, чтобы защитники не могли обнаружить и остановить развертывание вредоносных программ и кражу данных», - сообщили Sophos.
Связь с вредоносным ПО делится на три основные категории: загрузка дополнительных вредоносных программ, кража данных или управление и контроль. По заявлению компании Sophos, все эти типы связи могут использовать шифрование TLS, чтобы избежать обнаружения защитниками. По данным Sophos, год назад 24% вредоносных программ использовали TLS, но сегодня эта доля выросла до 46%.
В компании заявили, что большая часть роста общего использования TLS вредоносными программами может быть частично связана с более широким использованием облачных сервисов, защищенных TLS в качестве непреднамеренного хранилища для компонентов вредоносных программ. В заявлении также говорится, что за последний год наблюдается рост использования TLS в атаках программ-вымогателей, особенно в программах-вымогателях, развертываемых вручную — отчасти из-за использования злоумышленниками модульных атакующих инструментов, использующих HTTPS.
«Но подавляющее большинство того, что мы ежедневно обнаруживаем во вредоносном TLS-трафике, исходит от вредоносных программ с исходной компрометацией: загрузчиков, дропперов и установщиков на основе документов, которые обращаются к защищенным веб-страницам для получения своих установочных пакетов», - говорится в сообщении.
Один из дропперов, это программа-вымогатель LockBit на основе PowerShell, которая удаленно захватывает скрипты из электронной таблицы Google Docs через TLS.