Blokering af makroer er kun det første skridt i at besejre malware

August 02, 2022
INyheder Internetsikkerhed

Microsofts beslutning om at blokere makroer vil frarøve trusselsaktører dette populære middel til at distribuere malware.
Forskere bemærker dog, at cyberkriminelle allerede har ændret greb og reduceret brugen af makroer betydeligt i de seneste malware-kampagner.
Blokering af makroer er et skridt i den rigtige retning, men i sidste ende skal folk være mere på vagt for at undgå at blive smittet, foreslår eksperter.

En Microsoft-computer, der viser en advarsel om en skadelig fil. — Ed Hardie / Unsplash.

Mens Microsoft tog sin egen søde tid da de besluttede at blokere makroer som standard i Microsoft Office, var trusselsaktører hurtige til at omgå denne begrænsning og udtænke nye angrebsvektorer.

Ifølge ny forskning af sikkerhedsleverandøren Proofpoint er makroer ikke længere det foretrukne middel til at distribuere malware. Brugen af almindelige makroer faldt med cirka 66 % mellem oktober 2021 og juni 2022. På den anden side er brugen af ISO filer (et diskbillede) registrerede en stigning på over 150 %, mens brugen af LNK (Windows File Shortcut) filer steget svimlende 1.675 % i samme tidsramme. Disse filtyper kan omgå Microsofts makroblokeringsbeskyttelse.

"Trusselsaktører, der pivoterer væk fra direkte distribution af makrobaserede vedhæftede filer i e-mail, repræsenterer et markant skift i trusselslandskabet," Sherrod DeGrippo, Vice President, Threat Research and Detection hos Proofpoint, sagde i en pressemeddelelse. "Trusselsaktører vedtager nu nye taktikker for at levere malware, og den øgede brug af filer som ISO, LNK og RAR forventes at fortsætte."

Bevæger sig med tiden

I en e-mail-udveksling med Lifewire, Harman Singh, direktør hos udbyder af cybersikkerhedstjenester Cyphere, beskrev makroer som små programmer, der kan bruges til at automatisere opgaver i Microsoft Office, hvor XL4- og VBA-makroer er de mest almindeligt anvendte makroer af Office-brugere.

Fra et cyberkriminalitetsperspektiv sagde Singh, at trusselsaktører kan bruge makroer til nogle ret grimme angrebskampagner. For eksempel kan makroer udføre ondsindede kodelinjer på et offers computer med de samme privilegier som den loggede ind. Trusselaktører kan misbruge denne adgang til at eksfiltrere data fra en kompromitteret computer eller endda få fat i yderligere skadeligt indhold fra malwarens servere for at trække endnu mere skadelig malware ind.

Singh var dog hurtig til at tilføje, at Office ikke er den eneste måde at inficere computersystemer på, men "det er et af de mest populære [mål] på grund af brugen af Office-dokumenter af næsten alle på Internettet."

For at regere i truslen begyndte Microsoft at mærke nogle dokumenter fra steder, der ikke er tillid til, f.eks internet med attributten Mark of the Web (MOTW), en kodestreng, der angiver, udløser sikkerhed funktioner.

I deres forskning hævder Proofpoint, at faldet i brugen af makroer er en direkte reaktion på Microsofts beslutning om at mærke MOTW-attributten til filer.

Singh er ikke overrasket. Han forklarede, at komprimerede arkiver som ISO- og RAR-filer ikke er afhængige af Office og kan køre skadelig kode på egen hånd. "Det er indlysende, at ændring af taktik er en del af cyberkriminelles strategi for at sikre, at de sætter deres indsats på den bedste angrebsmetode, der har størst sandsynlighed for at [inficere folk]."

Indeholder malware

Indlejring af malware i komprimerede filer som ISO- og RAR-filer hjælper også med at undgå detektionsteknikker, der fokuserer på at analysere strukturen eller formatet af filer, forklarede Singh. "For eksempel er mange detekteringer for ISO- og RAR-filer baseret på filsignaturer, som nemt kan fjernes ved at komprimere en ISO- eller RAR-fil med en anden komprimeringsmetode."

Hænderne på et computertastatur med en virusgrafik overlejret på skærmen. — sarayut / Getty Images

Ifølge Proofpoint, ligesom de ondsindede makroer før dem, er den mest populære måde at sende disse malware-ladede arkiver på via e-mail.

Proofpoints forskning er baseret på sporing af forskellige berygtede trusselsaktørers aktiviteter. Den observerede brugen af de nye indledende adgangsmekanismer, der blev brugt af grupper, der distribuerer Bumblebee, og Emotet-malwaren, såvel som af flere andre cyberkriminelle, til alle former for malware.

"Mere end halvdelen af de 15 sporede trusselsaktører, der brugte ISO-filer [mellem oktober 2021 og juni 2022], begyndte at bruge dem i kampagner efter januar 2022," fremhævede Proofpoint.

For at styrke dit forsvar mod disse ændringer i taktikken fra trusselsaktørerne, foreslår Singh, at folk skal være på vagt over for uopfordrede e-mails. Han advarer også folk mod at klikke på links og åbne vedhæftede filer, medmindre de er sikre på, at disse filer er sikre.

"Stol ikke på nogen kilder, medmindre du forventer en besked med en vedhæftet fil," gentog Singh. "Stol på, men bekræft, for eksempel, ring til kontakten før [åbner en vedhæftet fil] for at se, om det virkelig er en vigtig e-mail fra din ven eller en ondsindet fra deres kompromitterede konti."