Блокування макросів — це лише перший крок у боротьбі зі зловмисним програмним забезпеченням
- Рішення Microsoft заблокувати макроси позбавить зловмисників цього популярного засобу розповсюдження шкідливих програм.
- Однак дослідники відзначають, що кіберзлочинці вже змінили курс і значно скоротили використання макросів в останніх кампаніях зловмисного програмного забезпечення.
- Блокування макросів є кроком у правильному напрямку, але, зрештою, люди повинні бути більш пильними, щоб уникнути зараження, вважають експерти.
Тоді як Microsoft знайшов свій власний солодкий час Вирішивши блокувати макроси за замовчуванням у Microsoft Office, зловмисники швидко обійшли це обмеження та розробили нові вектори атак.
Згідно з нові дослідження постачальником безпеки Proofpoint, макроси більше не є улюбленим засобом розповсюдження шкідливого програмного забезпечення. З жовтня 2021 року по червень 2022 року використання звичайних макросів скоротилося приблизно на 66%. З іншого боку, використання файли ISO (образ диска) зафіксовано зростання більш ніж на 150%, тоді як використання
«Відхід суб’єктів загрози від безпосереднього розповсюдження вкладень на основі макросів у електронній пошті означає значну зміну ландшафту загроз», Шеррод ДеГріппо, віце-президент із дослідження та виявлення загроз Proofpoint, йдеться в прес-релізі. «Актори загрози зараз застосовують нову тактику для доставки зловмисного програмного забезпечення, і очікується, що збільшення використання файлів, таких як ISO, LNK і RAR, продовжиться».
У ногу з часом
Під час обміну електронною поштою з Lifewire, Харман Сінгх, директор постачальника послуг кібербезпеки Cyphere, описав макроси як невеликі програми, які можна використовувати для автоматизації завдань у Microsoft Office, при цьому макроси XL4 та VBA є макросами, які найчастіше використовують користувачі Office.
З точки зору кіберзлочинності, Сінгх сказав, що загрозливі особи можуть використовувати макроси для деяких досить неприємних кампаній атак. Наприклад, макроси можуть виконувати шкідливі рядки коду на комп’ютері жертви з тими ж привілеями, що й особа, яка ввійшла в систему. Зловмисники можуть зловживати цим доступом, щоб отримати дані зі зламаного комп’ютера або навіть захопити додатковий шкідливий вміст із серверів зловмисного програмного забезпечення, щоб отримати ще більш шкідливе програмне забезпечення.
Однак Сінгх швидко додав, що Office — не єдиний спосіб зараження комп’ютерних систем, але «це одна з найпопулярніших [цілей] через використання документів Office майже всіма користувачами Інтернет».
Щоб панувати над загрозою, Microsoft почала позначати деякі документи з ненадійних місць, як-от Інтернеті з атрибутом Mark of the Web (MOTW), рядком коду, який позначає тригери безпеки особливості.
У своєму дослідженні Proofpoint стверджує, що зменшення використання макросів є прямою відповіддю на рішення Microsoft позначати файли атрибутом MOTW.
Сінгх не здивований. Він пояснив, що стислі архіви, як-от файли ISO та RAR, не покладаються на Office і можуть запускати шкідливий код самостійно. «Очевидно, що зміна тактики є частиною стратегії кіберзлочинців, щоб переконатися, що вони докладають своїх зусиль до найкращого методу атаки, який має найвищу ймовірність [зараження людей]».
Містить шкідливе програмне забезпечення
Вбудовування зловмисного програмного забезпечення в стислі файли, такі як файли ISO та RAR, також допомагає уникнути методів виявлення, які зосереджені на аналізі структури або формату файлів, пояснив Сінгх. «Наприклад, багато виявлень для файлів ISO та RAR базуються на підписах файлів, які можна легко видалити, стиснувши файл ISO або RAR іншим методом стиснення».
sarayut / Getty Images
За даними Proofpoint, як і попередні шкідливі макроси, найпопулярнішим засобом передачі цих завантажених шкідливим програмним забезпеченням архівів є електронна пошта.
Дослідження Proofpoint базуються на відстеженні дій різних відомих загроз. Він спостерігав за використанням нових механізмів початкового доступу, які використовуються групами, які розповсюджують зловмисне програмне забезпечення Bumblebee та Emotet, а також кількома іншими кіберзлочинцями для всіх видів шкідливого програмного забезпечення.
«Більше половини з 15 відстежуваних загроз, які використовували файли ISO [з жовтня 2021 року по червень 2022 року], почали використовувати їх у кампаніях після січня 2022 року», — підкреслив Proofpoint.
Щоб посилити захист від цих змін у тактиці зловмисників, Сінгх радить людям бути обережними з небажаними електронними листами. Він також застерігає людей від натискання посилань і відкриття вкладень, якщо вони не впевнені поза сумнівом, що ці файли безпечні.
«Не довіряйте жодним джерелам, якщо не очікуєте повідомлення з вкладенням», — повторив Сінгх. «Довіряйте, але перевіряйте, наприклад, зателефонуйте контакту, перш ніж [відкрити вкладення], щоб перевірити, чи це справді важливий електронний лист від вашого друга чи зловмисний лист із його зламаних облікових записів».