Key takeaways
- Microsofts beslutning om å blokkere makroer vil frarøve trusselaktører denne populære måten å distribuere skadevare på.
- Forskere bemerker imidlertid at nettkriminelle allerede har endret tilnærming og redusert bruken av makroer betydelig i nylige malware-kampanjer.
- Blokkering av makroer er et skritt i riktig retning, men på slutten av dagen må folk være mer på vakt for å unngå å bli smittet, foreslår eksperter.
Mens Microsoft tok seg tid til å blokkere makroer som standard i Microsoft Office, var trusselaktørene raske til å omgå denne begrensningen og utarbeide nye angrepsvektorer.
I følge ny forskning fra sikkerhetsleverandøren Proofpoint, er ikke makroer lenger favorittmidlene for å distribuere skadelig programvare. Bruken av vanlige makroer gikk ned med omtrent 66 % mellom oktober 2021 og juni 2022. På den annen side registrerte bruken av ISO-filer (et platebilde) en økning på over 150 %, mens bruken av LNK (Windows File Shortcut) filer økte svimlende 1 675 % i samme tidsramme. Disse filtypene kan omgå Microsofts makroblokkeringsbeskyttelse.
"Trusselsaktører som svinger bort fra direkte distribusjon av makrobaserte vedlegg i e-post representerer et betydelig skifte i trussellandskapet," sa Sherrod DeGrippo, visepresident for trusselforskning og deteksjon ved Proofpoint, i en pressemelding. «Trusselaktører tar nå i bruk nye taktikker for å levere skadevare, og den økte bruken av filer som ISO, LNK og RAR forventes å fortsette.»
Moving With the Times
I en e-postutveksling med Lifewire beskrev Harman Singh, direktør hos cybersikkerhetstjenesteleverandøren Cyphere, makroer som små programmer som kan brukes til å automatisere oppgaver i Microsoft Office, med XL4- og VBA-makroer som de mest brukte makroene av Office-brukere.
Fra et cyberkriminalitetsperspektiv sa Singh at trusselaktører kan bruke makroer for noen ganske ekle angrepskampanjer. For eksempel kan makroer utføre ondsinnede kodelinjer på et offers datamaskin med samme rettigheter som den påloggede personen. Trusselaktører kan misbruke denne tilgangen til å eksfiltrere data fra en kompromittert datamaskin eller til og med hente ytterligere ondsinnet innhold fra malwarens servere for å trekke inn enda mer skadelig skadelig programvare.
Singh var imidlertid rask med å legge til at Office ikke er den eneste måten å infisere datasystemer på, men "det er et av de mest populære [målene] på grunn av bruken av Office-dokumenter av nesten alle på Internett. «
For å regjere i trusselen begynte Microsoft å merke noen dokumenter fra ikke-klarerte steder, som internett, med attributtet Mark of the Web (MOTW), en kodestreng som angir utløser sikkerhetsfunksjoner.
I sin forskning hevder Proofpoint at nedgangen i bruken av makroer er et direkte svar på Microsofts beslutning om å merke MOTW-attributtet til filer.
Singh er ikke overrasket. Han forklarte at komprimerte arkiver som ISO- og RAR-filer ikke er avhengige av Office og kan kjøre skadelig kode på egen hånd. «Det er åpenbart at endring av taktikk er en del av nettkriminelles strategi for å sikre at de satser på den beste angrepsmetoden som har størst sannsynlighet for å [smitte folk].»
Inneholder skadelig programvare
Innbygging av skadelig programvare i komprimerte filer som ISO- og RAR-filer hjelper også med å unngå deteksjonsteknikker som fokuserer på å analysere strukturen eller formatet til filer, forklarte Singh. "For eksempel er mange deteksjoner for ISO- og RAR-filer basert på filsignaturer, som enkelt kan fjernes ved å komprimere en ISO- eller RAR-fil med en annen komprimeringsmetode."
I følge Proofpoint, akkurat som de ondsinnede makroene foran dem, er den mest populære måten å sende disse malware-ladede arkivene på via e-post.
Proofpoints forskning er basert på sporing av aktiviteter til ulike beryktede trusselaktører. Den observerte bruken av de nye innledende tilgangsmekanismene som ble brukt av grupper som distribuerer Bumblebee, og Emotet malware, samt av flere andre nettkriminelle, for alle typer skadelig programvare.
"Mer enn halvparten av de 15 sporede trusselaktørene som brukte ISO-filer [mellom oktober 2021 og juni 2022] begynte å bruke dem i kampanjer etter januar 2022," fremhevet Proofpoint.
For å styrke forsvaret ditt mot disse endringene i taktikken til trusselaktørene, foreslår Singh folk å være forsiktige med uønskede e-poster. Han advarer også folk mot å klikke på lenker og åpne vedlegg med mindre de er sikre på at disse filene er trygge.
"Ikke stol på noen kilder med mindre du forventer en melding med et vedlegg," gjentok Singh. "Stol på, men bekreft, for eksempel, ring kontakten før du [åpner et vedlegg] for å se om det virkelig er en viktig e-post fra vennen din eller en ondsinnet e-post fra deres kompromitterte kontoer.«
