Kluczowe dania na wynos
- Decyzja firmy Microsoft o blokowaniu makr pozbawi cyberprzestępców tego popularnego sposobu dystrybucji złośliwego oprogramowania.
- Jednak badacze zauważają, że cyberprzestępcy już zmienili taktykę i znacznie ograniczyli używanie makr w ostatnich kampaniach złośliwego oprogramowania.
- Blokowanie makr to krok we właściwym kierunku, ale pod koniec dnia ludzie muszą być bardziej czujni, aby uniknąć infekcji, sugerują eksperci.
Podczas gdy firma Microsoft nie spieszyła się, decydując się na domyślne blokowanie makr w pakiecie Microsoft Office, cyberprzestępcy szybko obeszli to ograniczenie i opracowali nowe wektory ataków.
Według nowych badań przeprowadzonych przez firmę Proofpoint, producenta zabezpieczeń, makra nie są już ulubionym sposobem dystrybucji złośliwego oprogramowania. Wykorzystanie popularnych makr zmniejszyło się o około 66% między październikiem 2021 a czerwcem 2022. Z drugiej strony, wykorzystanie plików ISO (obrazu dysku) odnotowało wzrost o ponad 150%, podczas gdy użycie LNK (Windows File Shortcut) liczba plików wzrosła oszałamiająco 1,675% w tym samym przedziale czasowym. Te typy plików mogą ominąć zabezpieczenia firmy Microsoft blokujące makra.
„Zagrożenia, które odeszły od bezpośredniej dystrybucji załączników opartych na makrach w wiadomościach e-mail, stanowią znaczącą zmianę w krajobrazie zagrożeń” – powiedział w komunikacie prasowym Sherrod DeGrippo, wiceprezes Threat Research and Detection w Proofpoint. „Podmioty zajmujące się zagrożeniami przyjmują teraz nowe taktyki w celu dostarczania złośliwego oprogramowania i oczekuje się, że wzrost wykorzystania plików takich jak ISO, LNK i RAR będzie kontynuowany”.
Podążamy z duchem czasu
Podczas wymiany e-maili z Lifewire, Harman Singh, dyrektor w firmie Cyphere, dostawcy usług cyberbezpieczeństwa, opisał makra jako małe programy, które można wykorzystać do automatyzacji zadań w pakiecie Microsoft Office, przy czym makra XL4 i VBA są najczęściej używanymi makrami przez Użytkownicy biurowi.
Z perspektywy cyberprzestępczości, Singh powiedział, że cyberprzestępcy mogą używać makr do dość nieprzyjemnych kampanii ataków. Na przykład makra mogą wykonywać złośliwe wiersze kodu na komputerze ofiary z tymi samymi uprawnieniami, co osoba zalogowana. Przestępcy mogą nadużywać tego dostępu, aby eksfiltrować dane z zaatakowanego komputera lub nawet pobrać dodatkową złośliwą zawartość z serwerów złośliwego oprogramowania, aby pobrać jeszcze bardziej szkodliwe złośliwe oprogramowanie.
Jednak Singh szybko dodał, że Office nie jest jedynym sposobem infekowania systemów komputerowych, ale „jest jednym z najpopularniejszych celów ze względu na używanie dokumentów Office przez prawie wszystkich użytkowników Internetu. „
Aby zapanować nad zagrożeniem, Microsoft zaczął oznaczać niektóre dokumenty z niezaufanych lokalizacji, takich jak Internet, atrybutem Mark of the Web (MOTW), ciągiem kodu, który oznacza wyzwalanie funkcji bezpieczeństwa.
W swoich badaniach Proofpoint twierdzi, że zmniejszenie użycia makr jest bezpośrednią odpowiedzią na decyzję Microsoftu o oznaczeniu atrybutu MOTW do plików.
Singh nie jest zaskoczony. Wyjaśnił, że skompresowane archiwa, takie jak pliki ISO i RAR, nie opierają się na pakiecie Office i mogą samodzielnie uruchamiać złośliwy kod. „Oczywiste jest, że zmiana taktyki jest częścią strategii cyberprzestępców, która ma na celu zapewnienie, że dołożą starań w celu uzyskania najlepszej metody ataku, która ma największe prawdopodobieństwo [zainfekowania ludzi].”
Zawiera złośliwe oprogramowanie
Umieszczanie złośliwego oprogramowania w skompresowanych plikach, takich jak pliki ISO i RAR, pomaga również uniknąć technik wykrywania, które koncentrują się na analizie struktury lub formatu plików, wyjaśnił Singh. „Na przykład wiele wykryć plików ISO i RAR opiera się na sygnaturach plików, które można łatwo usunąć, skompresując plik ISO lub RAR inną metodą kompresji”.
Według Proofpoint, podobnie jak wcześniejsze złośliwe makra, najpopularniejszym sposobem przenoszenia tych wyładowanych złośliwym oprogramowaniem archiwów jest poczta e-mail.
Badania Proofpoint opierają się na śledzeniu działań różnych znanych cyberprzestępców. Zaobserwował wykorzystanie nowych mechanizmów początkowego dostępu wykorzystywanych przez grupy dystrybuujące Bumblebee i szkodliwe oprogramowanie Emotet, a także przez kilku innych cyberprzestępców do wszystkich rodzajów szkodliwego oprogramowania.
„Ponad połowa z 15 śledzonych cyberprzestępców, którzy używali plików ISO [od października 2021 do czerwca 2022], zaczęła ich używać w kampaniach po styczniu 2022”, podkreślił Proofpoint.
Aby wzmocnić swoją obronę przed tymi zmianami w taktyce cyberprzestępców, Singh sugeruje, aby ludzie uważali na niechciane wiadomości e-mail. Ostrzega również ludzi przed klikaniem linków i otwieraniem załączników, chyba że mają pewność, że te pliki są bezpieczne.
"Nie ufaj żadnym źródłom, chyba że oczekujesz wiadomości z załącznikiem", powtórzył Singh. „Zaufaj, ale zweryfikuj, na przykład zadzwoń do kontaktu przed [otwarciem załącznika], aby sprawdzić, czy jest to naprawdę ważny e-mail od znajomego, czy złośliwy z jego zhakowanych kont.„