Блокирање макроа је само први корак у борби против злонамерног софтвера
- Мицрософтова одлука да блокира макрое лишиће претње актерима овог популарног средства за дистрибуцију малвера.
- Међутим, истраживачи примећују да су сајбер криминалци већ променили приступ и значајно смањили коришћење макроа у недавним кампањама против малвера.
- Блокирање макроа је корак у правом смеру, али на крају крајева, људи морају да буду опрезнији како би избегли заразу, предлажу стручњаци.
Док Мицрософт узела своје слатко време одлучивши да подразумевано блокирају макрое у Мицрософт Оффице-у, актери претњи су брзо заобишли ово ограничење и осмислили нове векторе напада.
Према нова истраживања од стране добављача безбедности Проофпоинт, макрои више нису омиљено средство за дистрибуцију малвера. Употреба уобичајених макроа смањена је за приближно 66% између октобра 2021. и јуна 2022. С друге стране, употреба ИСО датотеке (слика диска) регистровао је пораст од преко 150%, док је употреба ЛНК (Виндовс Филе Схортцут) датотеке повећао за невероватних 1,675% у истом временском периоду. Ови типови датотека могу заобићи Мицрософт-ову заштиту од блокирања макроа.
„Уклањање актера претњи од директне дистрибуције прилога заснованих на макроу у имејлу представља значајан помак у окружењу претњи“, Схеррод ДеГриппо, потпредседник за истраживање и откривање претњи у Проофпоинт-у, рекао је у саопштењу за јавност. „Учесници претњи сада усвајају нове тактике за испоруку злонамерног софтвера, а очекује се да ће се повећана употреба датотека као што су ИСО, ЛНК и РАР наставити.
Кретање са временом
У размени е-поште са Лифевире-ом, Харман Сингх, директор пружаоца услуга сајбер безбедности Ципхере, описао је макрое као мале програме који се могу користити за аутоматизацију задатака у Мицрософт Оффице-у, при чему су макрои КСЛ4 и ВБА најчешће коришћени од стране корисника Оффице-а.
Из перспективе сајбер криминала, Синг је рекао да актери претњи могу да користе макрое за неке прилично гадне кампање напада. На пример, макрои могу да изврше злонамерне линије кода на рачунару жртве са истим привилегијама као и особа која је пријављена. Актери претњи могу да злоупотребе овај приступ да ексфилтрирају податке са компромитованог рачунара или чак да преузму додатни злонамерни садржај са сервера малвера како би увукли још штетнији малвер.
Међутим, Синг је брзо додао да Оффице није једини начин да се зарази рачунарски систем, али „то је једна од најпопуларнијих [мета] због употребе Оффице докумената од стране скоро свих Интернет."
Да би владао претњом, Мицрософт је почео да означава неке документе са непоузданих локација, попут интернет, са атрибутом Марк оф тхе Веб (МОТВ), низом кода који означава безбедност окидача Карактеристике.
У свом истраживању, Проофпоинт тврди да је смањење употребе макроа директан одговор на одлуку Мицрософта да означи атрибут МОТВ датотекама.
Синг није изненађен. Објаснио је да се компримоване архиве као што су ИСО и РАР датотеке не ослањају на Оффице и да могу саме да покрену злонамерни код. „Очигледно је да је промена тактике део стратегије сајбер криминалаца како би се осигурало да уложе напоре у најбољи метод напада који има највећу вероватноћу [заразе људи].“
Садржи малвер
Уграђивање злонамерног софтвера у компримоване датотеке као што су ИСО и РАР датотеке такође помаже да се избегну технике откривања које се фокусирају на анализу структуре или формата датотека, објаснио је Синг. „На пример, многе детекције за ИСО и РАР датотеке су засноване на потписима датотека, који се лако могу уклонити компримовањем ИСО или РАР датотеке другим методом компресије.“
сараиут / Гетти Имагес
Према Проофпоинт-у, баш као и злонамерни макрои пре њих, најпопуларније средство за преношење ових архива са малвером је путем е-поште.
Проофпоинт-ово истраживање се заснива на праћењу активности различитих озлоглашених актера претњи. Уочено је коришћење нових механизама почетног приступа које користе групе које дистрибуирају Бумблебее и малвер Емотет, као и неколико других сајбер криминалаца, за све врсте малвера.
„Више од половине од 15 праћених актера претњи који су користили ИСО датотеке [између октобра 2021. и јуна 2022.] почели су да их користе у кампањама након јануара 2022.“, истакао је Проофпоинт.
Да би ојачао своју одбрану од ових промена у тактици од стране актера претњи, Синг предлаже људима да буду опрезни према нежељеним имејловима. Такође упозорава људе да не кликају на линкове и не отварају прилоге осим ако нису сигурни да су ове датотеке безбедне.
„Не верујте ниједном извору осим ако не очекујете поруку са прилогом“, поновио је Синг. „Верујте, али проверите, на пример, позовите контакт пре [отварања прилога] да видите да ли је то заиста важна е-пошта вашег пријатеља или злонамерна порука са њихових компромитованих налога.“