Blokiranje makronaredbi samo je prvi korak u borbi protiv zlonamjernog softvera
- Microsoftova odluka da blokira makronaredbe lišit će aktere prijetnji ovog popularnog sredstva za distribuciju zlonamjernog softvera.
- Međutim, istraživači primjećuju da su kibernetički kriminalci već promijenili pristup i značajno smanjili korištenje makronaredbi u nedavnim kampanjama zlonamjernog softvera.
- Blokiranje makronaredbi je korak u pravom smjeru, ali na kraju dana ljudi moraju biti oprezniji kako bi izbjegli zarazu, sugeriraju stručnjaci.
Dok je Microsoft uzeo svoje slatko vrijeme odlučivši blokirati makronaredbe prema zadanim postavkama u Microsoft Officeu, akteri prijetnji brzo su zaobišli ovo ograničenje i osmislili nove vektore napada.
Prema nova istraživanja dobavljača sigurnosti Proofpointa, makronaredbe više nisu omiljeno sredstvo za distribuciju zlonamjernog softvera. Upotreba uobičajenih makronaredbi smanjila se za približno 66% između listopada 2021. i lipnja 2022. S druge strane, korištenje ISO datoteke (slika diska) bilježi porast od preko 150%, dok je korištenje
"Akteri prijetnji koji se udaljavaju od izravne distribucije privitaka temeljenih na makroima u e-pošti predstavljaju značajan pomak u krajoliku prijetnji," Sherrod DeGrippo, potpredsjednik, istraživanje i otkrivanje prijetnji u Proofpointu, rekao je u priopćenju za javnost. "Akteri prijetnji sada usvajaju nove taktike za isporuku zlonamjernog softvera, a očekuje se nastavak povećane upotrebe datoteka kao što su ISO, LNK i RAR."
U korak s vremenom
U razmjeni e-pošte s Lifewireom, Harman Singh, direktor pružatelja usluga kibernetičke sigurnosti Cyphere, opisao je makronaredbe kao male programe koji se mogu koristiti za automatizaciju zadataka u Microsoft Officeu, pri čemu su XL4 i VBA makronaredbe najčešće korištene makronaredbe od strane korisnika sustava Office.
Iz perspektive kibernetičkog kriminala, Singh je rekao da akteri prijetnji mogu koristiti makronaredbe za neke prilično gadne kampanje napada. Na primjer, makronaredbe mogu izvršiti zlonamjerne retke koda na žrtvinom računalu s istim privilegijama kao i prijavljena osoba. Akteri prijetnji mogu zlorabiti ovaj pristup za eksfiltraciju podataka s kompromitiranog računala ili čak za preuzimanje dodatnog zlonamjernog sadržaja s poslužitelja zlonamjernog softvera kako bi povukli još štetniji zlonamjerni softver.
Međutim, Singh je brzo dodao da Office nije jedini način za zarazu računalnih sustava, ali "to je jedna od najpopularnijih [meta] zbog upotrebe Office dokumenata od strane gotovo svih na Internet."
Kako bi vladao prijetnjom, Microsoft je počeo označavati neke dokumente s nepouzdanih lokacija, poput internet, s atributom Mark of the Web (MOTW), nizom koda koji označava aktiviranje sigurnosti značajke.
U svom istraživanju, Proofpoint tvrdi da je smanjenje upotrebe makronaredbi izravan odgovor na odluku Microsofta da datotekama označi atribut MOTW.
Singh nije iznenađen. Objasnio je da se komprimirane arhive poput ISO i RAR datoteka ne oslanjaju na Office i mogu same pokrenuti zlonamjerni kod. "Očito je da je promjena taktike dio strategije kibernetičkih kriminalaca kako bi se osiguralo da ulože svoj trud na najbolju metodu napada koja ima najveću vjerojatnost [zaraze ljudi]."
Sadrži zlonamjerni softver
Ugrađivanje zlonamjernog softvera u komprimirane datoteke kao što su ISO i RAR datoteke također pomaže u izbjegavanju tehnika otkrivanja koje su usmjerene na analizu strukture ili formata datoteka, objasnio je Singh. "Na primjer, mnoge detekcije za ISO i RAR datoteke temelje se na potpisima datoteka, koji se mogu lako ukloniti komprimiranjem ISO ili RAR datoteke drugom metodom kompresije."
sarayut / Getty Images
Prema Proofpointu, kao i zlonamjernim makroima prije njih, najpopularniji način prijenosa ovih arhiva krcatih zlonamjernim softverom je putem e-pošte.
Proofpointovo istraživanje temelji se na praćenju aktivnosti raznih ozloglašenih aktera prijetnji. Promatrao je korištenje novih početnih mehanizama pristupa koje koriste skupine koje distribuiraju zlonamjerni softver Bumblebee i Emotet, kao i nekoliko drugih kibernetičkih kriminalaca, za sve vrste zlonamjernog softvera.
"Više od polovice od 15 praćenih aktera prijetnji koji su koristili ISO datoteke [između listopada 2021. i lipnja 2022.] počeli su ih koristiti u kampanjama nakon siječnja 2022.", istaknuo je Proofpoint.
Kako biste ojačali svoju obranu od ovih promjena u taktici aktera prijetnji, Singh predlaže ljudima da budu oprezni s neželjenom e-poštom. On također upozorava ljude da ne klikaju poveznice i otvaraju privitke osim ako nisu bez sumnje sigurni da su te datoteke sigurne.
"Ne vjerujte nikakvim izvorima osim ako ne očekujete poruku s privitkom", ponovio je Singh. "Vjerujte, ali potvrdite, na primjer, nazovite kontakt prije nego što [otvorite privitak] da vidite radi li se stvarno o važnoj e-poruci od vašeg prijatelja ili o zlonamjernoj e-poruci s njihovih ugroženih računa."