閉じる
メニュー

マクロをブロックすることは、マルウェアを撃退するための最初のステップにすぎません

  • マクロをブロックするという Microsoft の決定は、マルウェアを配布するためのこの一般的な手段を攻撃者から奪うことになります。
  • しかし、研究者は、最近のマルウェア キャンペーンでは、サイバー犯罪者がすでに方針を変更し、マクロの使用を大幅に減らしていることに注目しています。
  • マクロをブロックすることは正しい方向への一歩ですが、結局のところ、人々は感染を避けるためにもっと警戒する必要があると専門家は示唆しています.
悪意のあるファイルに関する警告を表示する Microsoft コンピューター。
エド・ハーディー / アンスプラッシュ.

マイクロソフトながら 独自の甘い時間を過ごしました Microsoft Office で既定でマクロをブロックすることを決定した後、攻撃者はこの制限を回避し、新しい攻撃ベクトルを考案しました。

によると 新しい研究 セキュリティ ベンダーの Proofpoint によると、マクロはもはやマルウェアを配布する手段として好まれていません。 一般的なマクロの使用は、2021 年 10 月から 2022 年 6 月の間に約 66% 減少しました。 一方、の使用 ISOファイル (ディスク イメージ) は 150% 以上の増加を記録しましたが、 LNK (Windows ファイル ショートカット) ファイル 同じ時間枠で驚異的な 1,675% 増加しました。 これらのファイル タイプは、Microsoft のマクロ ブロック保護をバイパスできます。

「マクロベースの添付ファイルを電子メールで直接配布することから遠ざかる脅威アクターは、脅威の状況に大きな変化をもたらしています。」 シェロッド・デグリッポProofpoint の脅威研究および検出担当副社長は、プレス リリースで次のように述べています。 「脅威アクターは現在、マルウェアを配布するために新しい戦術を採用しており、ISO、LNK、RAR などのファイルの使用が増加し続けると予想されます。」

時代と共に動く

Lifewire とのメール交換で、 ハーマン・シン、サイバーセキュリティ サービス プロバイダーのディレクター サイフィアは、マクロを、Microsoft Office でタスクを自動化するために使用できる小さなプログラムであると説明しました。XL4 および VBA マクロは、Office ユーザーが最もよく使用するマクロです。

サイバー犯罪の観点から、Singh 氏は、脅威アクターがかなり厄介な攻撃キャンペーンにマクロを使用できると述べました。 たとえば、マクロは、被害者のコンピューターで、ログインしたユーザーと同じ権限で悪意のあるコード行を実行できます。 脅威アクターは、このアクセスを悪用して、侵害されたコンピューターからデータを盗み出したり、マルウェアのサーバーから追加の悪意のあるコンテンツを取得して、さらに有害なマルウェアを取り込むことさえできます。

ただし、Singh 氏は、コンピューター システムに感染する唯一の方法は Office ではなく、「 ほぼすべての人が Office ドキュメントを使用しているため、最も人気のある [ターゲット] の 1 つです。 インターネット。"

脅威に対処するために、Microsoft は信頼できない場所からいくつかのドキュメントにタグを付け始めました。 インターネット、Mark of the Web (MOTW) 属性を持つ、トリガー セキュリティを指定するコードの文字列 特徴。

Proofpoint は調査の中で、マクロの使用が減少したのは、MOTW 属性をファイルにタグ付けするという Microsoft の決定に対する直接的な反応であると主張しています。

シンは驚かない。 彼は、ISO や RAR ファイルなどの圧縮アーカイブは Office に依存せず、悪意のあるコードを単独で実行できると説明しました。 「戦術を変更することは、サイバー犯罪者が[人に感染する]可能性が最も高い最善の攻撃方法に力を注ぐための戦略の一部であることは明らかです。」

マルウェアを含む

ISO や RAR ファイルなどの圧縮ファイルにマルウェアを埋め込むことで、ファイルの構造や形式の分析に重点を置いた検出手法を回避することもできます、と Singh 氏は説明します。 「たとえば、ISO および RAR ファイルの多くの検出はファイル署名に基づいており、ISO または RAR ファイルを別の圧縮方法で圧縮することで簡単に削除できます。」

画面にウイルスのグラフィックが重ねられたコンピューターのキーボードに手を置く。

サラユット/ゲッティイメージズ

Proofpoint によると、以前の悪意のあるマクロと同様に、これらのマルウェアを含むアーカイブを転送する最も一般的な手段は電子メールです。

Proofpoint の調査は、さまざまな悪名高い攻撃者の活動の追跡に基づいています。 Bumblebee や Emotet マルウェアを配布するグループ、およびその他の数人のサイバー犯罪者が、あらゆる種類のマルウェアに対して新しい初期アクセス メカニズムを使用していることを確認しました。

「[2021 年 10 月から 2022 年 6 月までの間に] ISO ファイルを使用した 15 人の追跡された攻撃者の半数以上が、2022 年 1 月以降のキャンペーンで ISO ファイルを使用し始めました」と Proofpoint は強調しています。

攻撃者によるこれらの戦術の変更に対する防御を強化するために、Singh は人々が迷惑メールに警戒することを提案しています。 彼はまた、ファイルが安全であることに疑いの余地がない限り、リンクをクリックしたり、添付ファイルを開いたりしないように人々に警告しています。

「添付ファイル付きのメッセージを期待していない限り、ソースを信頼しないでください」とSingh氏は繰り返した. 「信頼しますが、たとえば、[添付ファイルを開く]前に連絡先に電話して、それが本当にあなたの友人からの重要なメールなのか、侵害されたアカウントからの悪意のあるメールなのかを確認してください。」