Ключови изводи
- Решението на Microsoft да блокира макроси ще лиши участниците в заплахите от това популярно средство за разпространение на зловреден софтуер.
- Изследователите обаче отбелязват, че киберпрестъпниците вече са променили подхода си и значително са намалили използването на макроси в последните кампании за зловреден софтуер.
- Блокирането на макроси е стъпка в правилната посока, но в крайна сметка хората трябва да бъдат по-бдителни, за да избегнат заразяване, предлагат експерти.
Докато Microsoft си отдели време, за да реши да блокира макросите по подразбиране в Microsoft Office, участниците в заплахата бързо заобиколиха това ограничение и измислиха нови вектори на атака.
Според ново изследване на доставчика на сигурност Proofpoint, макросите вече не са любимото средство за разпространение на зловреден софтуер. Използването на общи макроси е намаляло с приблизително 66% между октомври 2021 г. и юни 2022 г. От друга страна, използването на ISO файлове (изображение на диск) регистрира увеличение от над 150%, докато използването на LNK (Windows File Shortcut) файлове се увеличи със зашеметяващите 1675% за същия период от време. Тези типове файлове могат да заобиколят защитите за блокиране на макроси на Microsoft.
„Акторите на заплахи, които се отклоняват от директното разпространение на базирани на макроси прикачени файлове в имейл, представляват значителна промяна в пейзажа на заплахите“, каза в съобщение за пресата Sherrod DeGrippo, вицепрезидент, изследване и откриване на заплахи в Proofpoint. „Акторите на заплахи сега възприемат нови тактики за доставяне на зловреден софтуер и се очаква увеличеното използване на файлове като ISO, LNK и RAR да продължи.“
В крак с времето
В обмен на имейли с Lifewire Харман Сингх, директор в доставчика на услуги за киберсигурност Cyphere, описа макросите като малки програми, които могат да се използват за автоматизиране на задачи в Microsoft Office, като XL4 и VBA макросите са най-често използваните макроси от Потребители на Office.
От гледна точка на киберпрестъпността, Сингх каза, че заплахите могат да използват макроси за някои доста неприятни кампании за атака. Например, макросите могат да изпълнят злонамерени редове код на компютъра на жертвата със същите привилегии като влезлия човек. Актьорите на заплахи могат да злоупотребят с този достъп, за да измъкнат данни от компрометиран компютър или дори да заграбят допълнително злонамерено съдържание от сървърите на злонамерения софтуер, за да изтеглят още по-вреден зловреден софтуер.
Въпреки това, Сингх побърза да добави, че Office не е единственият начин за заразяване на компютърни системи, но „той е една от най-популярните [мишени] поради използването на Office документи от почти всички в Интернет."
За да управлява заплахата, Microsoft започна да маркира някои документи от ненадеждни места, като интернет, с атрибута Mark of the Web (MOTW), низ от код, който обозначава задействащите функции за сигурност.
В изследването си Proofpoint твърди, че намаляването на използването на макроси е пряк отговор на решението на Microsoft да маркира MOTW атрибута към файловете.
Сингх не е изненадан. Той обясни, че компресираните архиви като ISO и RAR файлове не разчитат на Office и могат сами да изпълняват зловреден код. „Очевидно е, че промяната на тактиката е част от стратегията на киберпрестъпниците, за да гарантира, че ще положат усилията си върху най-добрия метод за атака, който има най-голяма вероятност за [заразяване на хора].“
Съдържащ зловреден софтуер
Вграждането на зловреден софтуер в компресирани файлове като ISO и RAR файлове също помага за избягване на техники за откриване, които се фокусират върху анализиране на структурата или формата на файловете, обясни Сингх. „Например, много откривания за ISO и RAR файлове се основават на файлови подписи, които могат лесно да бъдат премахнати чрез компресиране на ISO или RAR файл с друг метод за компресиране.“
Според Proofpoint, точно както злонамерените макроси преди тях, най-популярният начин за пренасяне на тези натоварени със зловреден софтуер архиви е чрез имейл.
Изследването на Proofpoint се основава на проследяване на дейности на различни известни заплахи. Той наблюдава използването на новите механизми за първоначален достъп, използвани от групи, които разпространяват Bumblebee и зловреден софтуер Emotet, както и от няколко други киберпрестъпници, за всякакъв вид зловреден софтуер.
"Повече от половината от 15-те проследени участници на заплахи, които са използвали ISO файлове [между октомври 2021 г. и юни 2022 г.], започнаха да ги използват в кампании след януари 2022 г.", подчерта Proofpoint.
За да укрепите защитата си срещу тези промени в тактиката на заплахите, Сингх предлага на хората да внимават с нежеланите имейли. Той също така предупреждава хората да не кликват върху връзки и да отварят прикачени файлове, освен ако не са уверени без съмнение, че тези файлове са безопасни.
„Не се доверявайте на никакви източници, освен ако не очаквате съобщение с прикачен файл“, повтори Сингх. „Доверете се, но потвърдете, например, обадете се на контакта, преди [да отворите прикачен файл], за да видите дали наистина е важен имейл от ваш приятел или злонамерен имейл от техните компрометирани акаунти."
