Blokowanie makr to tylko pierwszy krok w walce ze złośliwym oprogramowaniem

August 02, 2022
WAktualności Ochrona Internetu

Decyzja Microsoftu o blokowaniu makr pozbawi cyberprzestępców tego popularnego sposobu dystrybucji złośliwego oprogramowania.
Jednak badacze zauważają, że cyberprzestępcy już zmienili taktykę i znacznie ograniczyli używanie makr w ostatnich kampaniach złośliwego oprogramowania.
Eksperci sugerują, że blokowanie makr to krok we właściwym kierunku, ale ostatecznie ludzie muszą być bardziej czujni, aby uniknąć infekcji.

Komputer firmy Microsoft wyświetlający ostrzeżenie o złośliwym pliku. — Ed Hardie / Unsplash.

Podczas gdy Microsoft wziął swój słodki czas Decydując się na domyślne blokowanie makr w pakiecie Microsoft Office, cyberprzestępcy szybko obeszli to ograniczenie i opracowali nowe wektory ataków.

Według nowe badania według producenta zabezpieczeń, Proofpoint, makra nie są już ulubionym sposobem dystrybucji złośliwego oprogramowania. Wykorzystanie popularnych makr zmniejszyło się o około 66% między październikiem 2021 r. a czerwcem 2022 r. Z drugiej strony użycie Pliki ISO (obraz dysku) odnotował wzrost o ponad 150%, natomiast użycie Pliki LNK (skrót do plików systemu Windows)

w tym samym okresie zwiększyła się o oszałamiające 1,675%. Te typy plików mogą ominąć zabezpieczenia blokujące makra firmy Microsoft.

„Zagrożenia rezygnujące z bezpośredniej dystrybucji załączników opartych na makrach w wiadomościach e-mail oznaczają znaczną zmianę w krajobrazie zagrożeń”. Sherrod DeGrippo, wiceprezes Threat Research and Detection w Proofpoint, powiedział w komunikacie prasowym. „Podmioty zajmujące się zagrożeniami przyjmują teraz nowe taktyki w celu dostarczania złośliwego oprogramowania i oczekuje się, że wzrost wykorzystania plików takich jak ISO, LNK i RAR będzie kontynuowany”.

Idąc z duchem czasu

W wymianie e-maili z Lifewire, Harman Singh, dyrektor dostawcy usług cyberbezpieczeństwa Cypher, opisali makra jako małe programy, których można używać do automatyzacji zadań w pakiecie Microsoft Office, przy czym makra XL4 i VBA są najczęściej używanymi makrami przez użytkowników pakietu Office.

Z perspektywy cyberprzestępczości, Singh powiedział, że cyberprzestępcy mogą używać makr do dość nieprzyjemnych kampanii ataków. Na przykład makra mogą wykonywać złośliwe wiersze kodu na komputerze ofiary z tymi samymi uprawnieniami, co osoba zalogowana. Przestępcy mogą nadużywać tego dostępu, aby eksfiltrować dane z zaatakowanego komputera lub nawet pobrać dodatkową złośliwą zawartość z serwerów złośliwego oprogramowania, aby przyciągnąć jeszcze bardziej szkodliwe złośliwe oprogramowanie.

Jednak Singh szybko dodał, że Office nie jest jedynym sposobem infekowania systemów komputerowych, ale jeden z najpopularniejszych [celów] ze względu na korzystanie z dokumentów Office przez prawie wszystkich użytkowników Internet."

Aby zapanować nad zagrożeniem, Microsoft zaczął oznaczać niektóre dokumenty z niezaufanych lokalizacji, takich jak internet, z atrybutem Mark of the Web (MOTW), ciągiem kodu, który wyznacza wyzwalacze bezpieczeństwa cechy.

W swoich badaniach Proofpoint twierdzi, że zmniejszenie użycia makr jest bezpośrednią odpowiedzią na decyzję Microsoftu o tagowaniu atrybutu MOTW do plików.

Singh nie jest zaskoczony. Wyjaśnił, że skompresowane archiwa, takie jak pliki ISO i RAR, nie opierają się na pakiecie Office i mogą samodzielnie uruchamiać złośliwy kod. „Oczywiste jest, że zmiana taktyki jest częścią strategii cyberprzestępców, która ma na celu zapewnienie, że dołożą starań, aby wybrać najlepszą metodę ataku, która ma największe prawdopodobieństwo [zainfekowania ludzi]”.

Zawiera złośliwe oprogramowanie

Jak wyjaśnił Singh, osadzanie złośliwego oprogramowania w skompresowanych plikach, takich jak pliki ISO i RAR, pomaga również unikać technik wykrywania, które koncentrują się na analizie struktury lub formatu plików. „Na przykład wiele wykryć plików ISO i RAR opiera się na sygnaturach plików, które można łatwo usunąć, skompresując plik ISO lub RAR inną metodą kompresji”.

Ręce na klawiaturze komputera z grafiką wirusa nałożoną na ekran. — sarayut / Getty Images

Według Proofpoint, podobnie jak wcześniejsze złośliwe makra, najpopularniejszym sposobem przenoszenia tych wyładowanych złośliwym oprogramowaniem archiwów jest poczta e-mail.

Badania Proofpoint opierają się na śledzeniu działań różnych znanych cyberprzestępców. Zaobserwował wykorzystanie nowych mechanizmów początkowego dostępu wykorzystywanych przez grupy dystrybuujące Bumblebee i szkodliwe oprogramowanie Emotet, a także przez kilku innych cyberprzestępców do wszystkich rodzajów szkodliwego oprogramowania.

„Ponad połowa z 15 śledzonych cyberprzestępców, którzy używali plików ISO [od października 2021 do czerwca 2022], zaczęła ich używać w kampaniach po styczniu 2022 roku” – podkreślił Proofpoint.

Aby wzmocnić obronę przed tymi zmianami w taktyce cyberprzestępców, Singh sugeruje, aby ludzie uważali na niechciane wiadomości e-mail. Ostrzega również przed klikaniem linków i otwieraniem załączników, chyba że mają pewność, że te pliki są bezpieczne.

„Nie ufaj żadnym źródłom, chyba że oczekujesz wiadomości z załącznikiem” – powtórzył Singh. „Zaufaj, ale zweryfikuj, na przykład zadzwoń do kontaktu przed [otwarciem załącznika], aby sprawdzić, czy to naprawdę ważny e-mail od znajomego, czy złośliwy z jego przejętych kont”.