Recomandări cheie
- Decizia Microsoft de a bloca macrocomenzile va răpi actorii amenințărilor acest mijloc popular de distribuire a malware.
- Cu toate acestea, cercetătorii observă că infractorii cibernetici și-au schimbat deja orientările și au redus semnificativ utilizarea macrocomenzilor în campaniile recente de programe malware.
- Blocarea macrocomenzilor este un pas în direcția cea bună, dar la sfârșitul zilei, oamenii trebuie să fie mai vigilenți pentru a evita infectarea, sugerează experții.
În timp ce Microsoft și-a luat un timp dulce pentru a bloca macrocomenzile în mod implicit în Microsoft Office, actorii amenințărilor s-au grăbit să rezolve această limitare și să conceapă noi vectori de atac.
Conform noilor cercetări ale furnizorului de securitate Proofpoint, macrocomenzile nu mai sunt mijlocul preferat de distribuire a programelor malware. Utilizarea macrocomenzilor comune a scăzut cu aproximativ 66% între octombrie 2021 și iunie 2022. Pe de altă parte, utilizarea fișierelor ISO (o imagine de disc) a înregistrat o creștere de peste 150%, în timp ce utilizarea LNK (Windows File Shortcut) fișierele au crescut cu 1, 675% în același interval de timp. Aceste tipuri de fișiere pot ocoli protecțiile Microsoft de blocare a macrocomenzilor.
„Actorii de amenințări care se îndepărtează de distribuirea directă a atașamentelor bazate pe macro în e-mail reprezintă o schimbare semnificativă în peisajul amenințărilor”, a declarat Sherrod DeGrippo, vicepreședinte, Cercetare și Detectare a amenințărilor la Proofpoint, într-un comunicat de presă. „Actorii amenințărilor adoptă acum noi tactici pentru a furniza programe malware și se așteaptă ca utilizarea sporită a fișierelor precum ISO, LNK și RAR să continue.”
Mișcarea cu vremurile
Într-un schimb de e-mail cu Lifewire, Harman Singh, director la furnizorul de servicii de securitate cibernetică Cyphere, a descris macrocomenzile ca fiind programe mici care pot fi folosite pentru automatizarea sarcinilor în Microsoft Office, macrocomenzile XL4 și VBA fiind cele mai frecvent utilizate de către Utilizatori Office.
Din perspectiva criminalității cibernetice, Singh a spus că actorii amenințărilor pot folosi macrocomenzi pentru niște campanii de atac destul de urâte. De exemplu, macrocomenzile pot executa linii de cod rău intenționate pe computerul unei victime, cu aceleași privilegii ca și persoana conectată. Actorii amenințărilor pot abuza de acest acces pentru a exfiltra datele de pe un computer compromis sau chiar pentru a prelua conținut rău intenționat suplimentar de pe serverele malware-ului pentru a atrage și mai multe programe malware dăunătoare.
Cu toate acestea, Singh s-a grăbit să adauge că Office nu este singura modalitate de a infecta sistemele computerizate, dar „este una dintre cele mai populare [ținte] datorită utilizării documentelor Office de către aproape toată lumea de pe Internet. „
Pentru a domni în amenințare, Microsoft a început să eticheteze unele documente din locații nesigure, cum ar fi internetul, cu atributul Mark of the Web (MOTW), un șir de cod care desemnează funcțiile de declanșare de securitate.
În cercetarea lor, Proofpoint susține că scăderea utilizării macrocomenzilor este un răspuns direct la decizia Microsoft de a eticheta atributul MOTW în fișiere.
Singh nu este surprins. El a explicat că arhivele comprimate precum fișierele ISO și RAR nu se bazează pe Office și pot rula cod rău intenționat pe cont propriu. „Este evident că schimbarea tacticilor face parte din strategia infractorilor cibernetici pentru a se asigura că aceștia își depun eforturile pe cea mai bună metodă de atac care are cea mai mare probabilitate de a [infecta oamenii].”
Conțin programe malware
Încorporarea programelor malware în fișiere comprimate precum fișierele ISO și RAR ajută, de asemenea, la evitarea tehnicilor de detectare care se concentrează pe analiza structurii sau formatului fișierelor, a explicat Singh. „De exemplu, multe detectări pentru fișierele ISO și RAR se bazează pe semnăturile fișierelor, care pot fi eliminate cu ușurință prin comprimarea unui fișier ISO sau RAR cu o altă metodă de compresie.”
Conform Proofpoint, la fel ca macrocomenzile rău intenționate dinaintea lor, cel mai popular mijloc de a transporta aceste arhive încărcate cu programe malware este prin e-mail.
Cercetarea Proofpoint se bazează pe activitățile de urmărire ale diverșilor actori notori ai amenințărilor. Acesta a observat utilizarea noilor mecanisme de acces inițial utilizate de grupurile care distribuie Bumblebee și malware-ul Emotet, precum și de alți infractori cibernetici, pentru toate tipurile de malware.
„Mai mult de jumătate dintre cei 15 amenințări urmăriți care au folosit fișiere ISO [între octombrie 2021 și iunie 2022] au început să le folosească în campanii după ianuarie 2022”, a subliniat Proofpoint.
Pentru a vă consolida apărarea împotriva acestor schimbări în tacticile actorilor de amenințări, Singh sugerează oamenilor să fie atenți la e-mailurile nesolicitate. De asemenea, îi avertizează pe oameni să nu facă clic pe linkuri și să deschidă atașamente, dacă nu sunt siguri fără îndoială că aceste fișiere sunt sigure.
„Nu aveți încredere în nicio sursă decât dacă vă așteptați la un mesaj cu atașament”, a reiterat Singh. „Aveți încredere, dar verificați, de exemplu, sună persoana de contact înainte de [deschiderea unui atașament] pentru a vedea dacă este într-adevăr un e-mail important de la prietenul tău sau unul rău intenționat din conturile lor compromise.„
