Het blokkeren van macro's is slechts de eerste stap in het verslaan van malware

August 02, 2022
InNieuws Internet Beveiliging

De beslissing van Microsoft om macro's te blokkeren, zal bedreigingsactoren beroven van deze populaire manier om malware te verspreiden.
Onderzoekers merken echter op dat cybercriminelen al overstag zijn gegaan en het gebruik van macro's in recente malwarecampagnes aanzienlijk hebben verminderd.
Het blokkeren van macro's is een stap in de goede richting, maar uiteindelijk moeten mensen waakzamer zijn om besmetting te voorkomen, suggereren experts.

Een Microsoft-computer die een waarschuwing weergeeft over een kwaadaardig bestand. — Ed Hardie / Unsplash.

Terwijl Microsoft nam zijn eigen zoete tijd Door te besluiten macro's standaard te blokkeren in Microsoft Office, waren dreigingsactoren er snel bij om deze beperking te omzeilen en nieuwe aanvalsvectoren te bedenken.

Volgens nieuw onderzoek door beveiligingsleverancier Proofpoint zijn macro's niet langer het favoriete middel om malware te verspreiden. Het gebruik van gemeenschappelijke macro's is tussen oktober 2021 en juni 2022 met ongeveer 66% afgenomen. Aan de andere kant is het gebruik van ISO-bestanden (een schijfimage) registreerde een toename van meer dan 150%, terwijl het gebruik van

LNK-bestanden (Windows File Shortcut) steeg met maar liefst 1,675% in dezelfde periode. Deze bestandstypen kunnen de macroblokkeringsbeveiligingen van Microsoft omzeilen.

"Bedreigingsactoren die zich afwenden van het rechtstreeks verspreiden van macro-gebaseerde bijlagen in e-mail, betekent een significante verschuiving in het dreigingslandschap", Sherrod De Grippo, Vice President, Threat Research and Detection bij Proofpoint, in een persbericht. "Bedreigingsactoren passen nu nieuwe tactieken toe om malware te leveren, en het toegenomen gebruik van bestanden zoals ISO, LNK en RAR zal naar verwachting aanhouden."

Meegaan met de tijd

In een e-mailuitwisseling met Lifewire, Harman Singh, Directeur bij cybersecurity dienstverlener cyphere, beschreef macro's als kleine programma's die kunnen worden gebruikt om taken in Microsoft Office te automatiseren, waarbij XL4- en VBA-macro's de meest gebruikte macro's zijn door Office-gebruikers.

Vanuit het perspectief van cybercriminaliteit zei Singh dat bedreigingsactoren macro's kunnen gebruiken voor behoorlijk vervelende aanvalscampagnes. Macro's kunnen bijvoorbeeld kwaadaardige coderegels uitvoeren op de computer van een slachtoffer met dezelfde privileges als de ingelogde persoon. Bedreigingsactoren kunnen deze toegang misbruiken om gegevens van een gecompromitteerde computer te exfiltreren of zelfs extra kwaadaardige inhoud van de malwareservers te halen om nog meer schadelijke malware binnen te halen.

Singh voegde er echter snel aan toe dat Office niet de enige manier is om computersystemen te infecteren, maar "het is een van de meest populaire [doelen] vanwege het gebruik van Office-documenten door bijna iedereen op de internetten."

Om de dreiging het hoofd te bieden, begon Microsoft enkele documenten van niet-vertrouwde locaties te taggen, zoals de internet, met het kenmerk Mark of the Web (MOTW), een reeks code die triggers voor beveiliging aangeeft Kenmerken.

In hun onderzoek beweert Proofpoint dat de afname van het gebruik van macro's een directe reactie is op de beslissing van Microsoft om het MOTW-attribuut aan bestanden te taggen.

Singh is niet verbaasd. Hij legde uit dat gecomprimeerde archieven zoals ISO- en RAR-bestanden niet afhankelijk zijn van Office en zelf schadelijke code kunnen uitvoeren. "Het is duidelijk dat het veranderen van tactiek deel uitmaakt van de strategie van cybercriminelen om ervoor te zorgen dat ze hun best doen voor de beste aanvalsmethode die de grootste kans heeft om [mensen te besmetten]."

Malware bevatten

Het insluiten van malware in gecomprimeerde bestanden zoals ISO- en RAR-bestanden helpt ook om detectietechnieken te omzeilen die zich richten op het analyseren van de structuur of het formaat van bestanden, legt Singh uit. "Veel detecties voor ISO- en RAR-bestanden zijn bijvoorbeeld gebaseerd op bestandssignaturen, die eenvoudig kunnen worden verwijderd door een ISO- of RAR-bestand te comprimeren met een andere compressiemethode."

Handen op een computertoetsenbord met een virusafbeelding als overlay op het scherm. — sarayut / Getty Images

Volgens Proofpoint is, net als de kwaadaardige macro's ervoor, de meest populaire manier om deze met malware beladen archieven te verzenden via e-mail.

Het onderzoek van Proofpoint is gebaseerd op trackingactiviteiten van verschillende beruchte dreigingsactoren. Het observeerde het gebruik van de nieuwe initiële toegangsmechanismen die worden gebruikt door groepen die Bumblebee en de Emotet-malware verspreiden, evenals door verschillende andere cybercriminelen, voor allerlei soorten malware.

"Meer dan de helft van de 15 gevolgde dreigingsactoren die ISO-bestanden gebruikten [tussen oktober 2021 en juni 2022] begon ze te gebruiken in campagnes na januari 2022", benadrukt Proofpoint.

Om uw verdediging tegen deze veranderingen in de tactiek door de bedreigingsactoren te versterken, raadt Singh mensen aan op hun hoede te zijn voor ongevraagde e-mails. Hij waarschuwt mensen ook tegen het klikken op links en het openen van bijlagen, tenzij ze er zonder enige twijfel zeker van zijn dat deze bestanden veilig zijn.

"Vertrouw geen bronnen tenzij je een bericht met een bijlage verwacht", herhaalde Singh. "Vertrouw, maar verifieer, bijvoorbeeld, bel het contact voordat [een bijlage opent] om te zien of het echt een belangrijke e-mail is van je vriend of een kwaadwillende van hun gecompromitteerde accounts."