การบล็อกมาโครเป็นเพียงขั้นตอนแรกในการเอาชนะมัลแวร์

ในขณะที่ไมโครซอฟท์ ใช้เวลาอันแสนหวานของมันเอง การตัดสินใจบล็อกมาโครโดยค่าเริ่มต้นใน Microsoft Office ผู้คุกคามสามารถหลีกเลี่ยงข้อจำกัดนี้ได้อย่างรวดเร็วและคิดค้นเวกเตอร์การโจมตีใหม่

ตาม การวิจัยใหม่ โดย Proofpoint ของผู้ให้บริการด้านความปลอดภัย มาโครไม่ใช่วิธีการยอดนิยมในการกระจายมัลแวร์อีกต่อไป การใช้มาโครทั่วไปลดลงประมาณ 66% ระหว่างเดือนตุลาคม 2564 ถึงมิถุนายน 2565 ในทางกลับกัน การใช้ ไฟล์ ISO (ภาพดิสก์) จดทะเบียนเพิ่มขึ้นกว่า 150% ในขณะที่การใช้ LNK (Windows File Shortcut) ไฟล์ เพิ่มขึ้นอย่างมากถึง 1,675% ในช่วงเวลาเดียวกัน ประเภทไฟล์เหล่านี้สามารถเลี่ยงการป้องกันการบล็อกมาโครของ Microsoft ได้

"ผู้คุกคามที่หันเหจากการกระจายไฟล์แนบแบบมาโครในอีเมลโดยตรง แสดงถึงการเปลี่ยนแปลงครั้งสำคัญในแนวภัยคุกคาม"

เชอร์รอด เดอกริปโปรองประธานฝ่ายวิจัยและตรวจจับภัยคุกคามที่ Proofpoint กล่าวในการแถลงข่าว “ขณะนี้ผู้คุกคามกำลังใช้กลวิธีใหม่ในการส่งมัลแวร์ และคาดว่าการใช้ไฟล์เช่น ISO, LNK และ RAR ที่เพิ่มขึ้นจะดำเนินต่อไป”

เคลื่อนไหวไปตามกาลเวลา

ในการแลกเปลี่ยนอีเมลกับ Lifewire Harman Singh, ผู้อำนวยการผู้ให้บริการความปลอดภัยทางไซเบอร์ Cyphereอธิบายมาโครว่าเป็นโปรแกรมขนาดเล็กที่สามารถใช้ทำงานอัตโนมัติใน Microsoft Office ได้ โดยมาโคร XL4 และ VBA เป็นมาโครที่ผู้ใช้ Office ใช้บ่อยที่สุด

จากมุมมองของอาชญากรไซเบอร์ Singh กล่าวว่าผู้คุกคามสามารถใช้มาโครสำหรับแคมเปญโจมตีที่น่ารังเกียจ ตัวอย่างเช่น มาโครสามารถรันโค้ดที่เป็นอันตรายบนคอมพิวเตอร์ของเหยื่อด้วยสิทธิ์เดียวกันกับบุคคลที่เข้าสู่ระบบ ผู้คุกคามสามารถใช้การเข้าถึงนี้ในทางที่ผิดเพื่อกรองข้อมูลจากคอมพิวเตอร์ที่ถูกบุกรุก หรือแม้แต่คว้าเนื้อหาที่เป็นอันตรายเพิ่มเติมจากเซิร์ฟเวอร์ของมัลแวร์เพื่อดึงมัลแวร์ที่สร้างความเสียหายให้มากยิ่งขึ้น

อย่างไรก็ตาม ซิงห์กล่าวเสริมอย่างรวดเร็วว่า Office ไม่ใช่วิธีเดียวที่จะแพร่เชื้อไปยังระบบคอมพิวเตอร์ แต่ "มันคือ หนึ่งใน [เป้าหมาย] ที่ได้รับความนิยมมากที่สุดเนื่องจากการใช้เอกสาร Office โดยเกือบทุกคนใน อินเทอร์เน็ต."

เพื่อครอบครองภัยคุกคาม Microsoft ได้เริ่มแท็กเอกสารบางฉบับจากตำแหน่งที่ไม่น่าเชื่อถือ เช่น อินเทอร์เน็ตด้วยแอตทริบิวต์ Mark of the Web (MOTW) สตริงของรหัสที่กำหนดทริกเกอร์ความปลอดภัย คุณสมบัติ.

ในการวิจัยของพวกเขา Proofpoint อ้างว่าการใช้มาโครที่ลดลงนั้นเป็นการตอบสนองโดยตรงต่อการตัดสินใจของ Microsoft ในการแท็กแอตทริบิวต์ MOTW ไปยังไฟล์

สิงห์ไม่แปลกใจ เขาอธิบายว่าไฟล์บีบอัดที่เก็บถาวร เช่น ไฟล์ ISO และ RAR ไม่ได้อาศัย Office และสามารถเรียกใช้โค้ดที่เป็นอันตรายได้ด้วยตัวเอง "เห็นได้ชัดว่ายุทธวิธีที่เปลี่ยนไปเป็นส่วนหนึ่งของกลยุทธ์ของอาชญากรไซเบอร์เพื่อให้แน่ใจว่าพวกเขาใช้ความพยายามในวิธีการโจมตีที่ดีที่สุดซึ่งมีโอกาสสูงสุดที่จะ [ติดเชื้อคน]"

มีมัลแวร์

การฝังมัลแวร์ในไฟล์บีบอัด เช่น ไฟล์ ISO และ RAR ยังช่วยหลบเลี่ยงเทคนิคการตรวจจับที่เน้นไปที่การวิเคราะห์โครงสร้างหรือรูปแบบของไฟล์อีกด้วย Singh อธิบาย "ตัวอย่างเช่น การตรวจหาไฟล์ ISO และ RAR จำนวนมากขึ้นอยู่กับลายเซ็นไฟล์ ซึ่งสามารถลบออกได้อย่างง่ายดายโดยการบีบอัดไฟล์ ISO หรือ RAR ด้วยวิธีการบีบอัดแบบอื่น"

จากข้อมูลของ Proofpoint เช่นเดียวกับมาโครที่เป็นอันตรายก่อนหน้านั้น วิธีที่นิยมที่สุดในการถ่ายโอนไฟล์เก็บถาวรที่มีมัลแวร์เหล่านี้คือทางอีเมล

การวิจัยของ Proofpoint ขึ้นอยู่กับการติดตามกิจกรรมของผู้คุกคามที่มีชื่อเสียงหลายคน โดยสังเกตการใช้กลไกการเข้าถึงเบื้องต้นแบบใหม่ที่ใช้โดยกลุ่มที่แจกจ่าย Bumblebee และมัลแวร์ Emotet รวมถึงอาชญากรไซเบอร์อื่นๆ อีกหลายคนสำหรับมัลแวร์ทุกประเภท

"มากกว่าครึ่งหนึ่งของ 15 ตัวคุกคามที่ถูกติดตามซึ่งใช้ไฟล์ ISO [ระหว่างตุลาคม 2564 ถึงมิถุนายน 2565] เริ่มใช้ในแคมเปญหลังจากมกราคม 2565" Proofpoint เน้นย้ำ

เพื่อเสริมการป้องกันของคุณจากการเปลี่ยนแปลงในยุทธวิธีโดยผู้คุกคาม Singh แนะนำให้ผู้คนระมัดระวังอีเมลที่ไม่พึงประสงค์ นอกจากนี้ เขายังเตือนผู้คนไม่ให้คลิกลิงก์และเปิดไฟล์แนบ เว้นแต่พวกเขาจะมั่นใจโดยไม่ต้องสงสัยเลยว่าไฟล์เหล่านี้ปลอดภัย

"อย่าเชื่อถือแหล่งใด ๆ เว้นแต่คุณจะคาดหวังข้อความพร้อมไฟล์แนบ" ซิงห์กล่าวย้ำ "เชื่อถือ แต่ตรวจสอบตัวอย่างเช่นโทรหาผู้ติดต่อก่อน [เปิดไฟล์แนบ] เพื่อดูว่าเป็นอีเมลที่สำคัญจากเพื่อนของคุณหรือเป็นอีเมลที่เป็นอันตรายจากบัญชีที่ถูกบุกรุก"