يلجأ مجرمو الإنترنت إلى ملفات الحاويات والتكتيكات الأخرى للالتفاف حول محاولة الشركة لإحباط طريقة شائعة لتقديم حمولات التصيد الخبيث.
وجد الباحثون طريقهم للالتفاف حول الحظر الافتراضي الذي تفرضه Microsoft على وحدات الماكرو في مجموعة Office الخاصة بها ، وذلك باستخدام ملفات بديلة لاستضافة حمولات ضارة الآن بعد أن تم قطع القناة الأساسية لتسليم التهديدات.
انخفض استخدام المرفقات التي تدعم وحدات الماكرو من قبل الجهات الفاعلة في التهديد بنحو 66 في المائة بين أكتوبر 2021 ويونيو 2022 ، وفقًا لبيانات جديدة صادرة عن Proofpoint كشفت في بلوق وظيفة يوم الخميس. تزامنت بداية الانخفاض مع خطة Microsoft لبدء حظر وحدات ماكرو XL4 افتراضيًا لمستخدمي Excel ، متبوعة بحظر وحدات ماكرو VBA افتراضيًا عبر مجموعة Office هذا العام.
قال الباحثون سيلينا لارسون ودانييل بلاكفورد وآخرون في فريق البحث عن تهديدات Proofpoint في وظيفة.
على الرغم من استمرار مجرمي الإنترنت في الوقت الحالي في استخدام وحدات الماكرو في المستندات الخبيثة المستخدمة في حملات التصيد الاحتيالي ، فقد بدأوا أيضًا في التمحور حول إستراتيجية دفاع Microsoft من خلال التحول إلى أنواع ملفات أخرى مثل سفن للبرامج الضارة - أي ملفات الحاويات مثل مرفقات ISO و RAR وكذلك قالوا إن ملفات Windows Shortcut (LNK).
في الواقع ، في نفس الإطار الزمني البالغ ثمانية أشهر الذي انخفض فيه استخدام المستندات الممكّنة بوحدات الماكرو ، زاد عدد الحملات الخبيثة التي تستفيد من ملفات الحاويات بما في ذلك مرفقات ISO و RAR و LNK بنسبة 175 بالمائة تقريبًا ، كما وجد الباحثون.
وأشاروا إلى أنه "من المحتمل أن تستمر الجهات الفاعلة في التهديد في استخدام تنسيقات ملفات الحاويات لتقديم برامج ضارة ، مع الاعتماد بشكل أقل على المرفقات التي تم تمكين الماكرو".
لا مزيد من وحدات الماكرو؟
كانت وحدات الماكرو ، التي تُستخدم لأتمتة المهام المستخدمة بشكل متكرر في Office ، من بين أكثر وحدات الماكرو الطرق الشعبية لتقديم برامج ضارة في مرفقات البريد الإلكتروني الضارة على الأقل أفضل جزء من عقد من الزمان، حيث يمكن السماح بها بنقرة واحدة بسيطة بالماوس من جانب المستخدم عند مطالبتك بذلك.
لطالما تم تعطيل وحدات الماكرو افتراضيًا في Office ، على الرغم من أنه يمكن للمستخدمين دائمًا تمكينها - مما سمح للجهات الفاعلة بالتهديد بتسليح كل من وحدات ماكرو VBA ، والتي يمكنها تشغيل المحتوى الضار تلقائيًا عند تمكين وحدات الماكرو في تطبيقات Office ، بالإضافة إلى وحدات ماكرو XL4 الخاصة بـ Excel . عادة ما يستخدمه الممثلون المهندسة اجتماعيا حملات التصيد الاحتيالي لإقناع الضحايا بضرورة تمكين وحدات الماكرو حتى يتمكنوا من فتح ما لا يعرفون أنه مرفقات ملفات ضارة.
قال باحثو Proofpoint إنه في حين أن تحرك Microsoft لحظر وحدات الماكرو تمامًا حتى الآن لم يردع الجهات الفاعلة في التهديد عن استخدامها بالكامل ، فقد حفز هذا التحول الملحوظ إلى تكتيكات أخرى.
وأشار الباحثون إلى أن مفتاح هذا التحول هو تكتيكات لتجاوز طريقة Microsoft لحظر وحدات ماكرو VBA استنادًا إلى سمة Mark of the Web (MOTW) التي توضح ما إذا كان الملف يأتي من الإنترنت المعروف باسم Zone.
كتبوا: "تضيف تطبيقات Microsoft هذا إلى بعض المستندات عند تنزيلها من الويب". "ومع ذلك ، يمكن تجاوز MOTW باستخدام تنسيقات ملفات الحاوية."
في الواقع ، شركة أمن تكنولوجيا المعلومات Outflank مريحة مفصلة خيارات متعددة للقراصنة الأخلاقيين المتخصصين في محاكاة الهجوم - المعروفين باسم "الفريق الأحمر" - لتجاوز آليات MOTW ، وفقًا لـ Proofpoint. قال الباحثون إنه لا يبدو أن المنشور قد مر دون أن يلاحظه أحد من قبل الجهات الفاعلة في التهديد ، حيث بدأوا أيضًا في نشر هذه التكتيكات.
ملف تنسيق Switcheroo
لتجاوز حظر وحدات الماكرو ، يستخدم المهاجمون بشكل متزايد تنسيقات ملفات مثل ملفات ISO (.iso) و RAR (.rar) و ZIP (.zip) و IMG (.img) لإرسال المستندات التي تدعم الماكرو ، كما قال الباحثون. هذا لأنه على الرغم من أن الملفات نفسها ستحتوي على سمة MOTW ، إلا أن المستند الموجود بالداخل ، مثل جدول بيانات ممكّن بماكرو ، لن يكون كذلك ، كما لاحظ الباحثون.
كتبوا في المنشور "عند استخراج المستند ، سيظل المستخدم مضطرًا إلى تمكين وحدات الماكرو لتنفيذ التعليمات البرمجية الضارة تلقائيًا ، لكن نظام الملفات لن يحدد المستند على أنه قادم من الويب".
بالإضافة إلى ذلك ، يمكن للجهات الفاعلة في التهديد استخدام ملفات الحاويات لتوزيع الحمولات مباشرة عن طريق إضافة محتوى إضافي مثل LNKs ، دلس، أو الملفات القابلة للتنفيذ (.exe) التي يمكن استخدامها لتنفيذ حمولة ضارة ، كما قال الباحثون.
شهد Proofpoint أيضًا ارتفاعًا طفيفًا في إساءة استخدام ملفات XLL - وهو نوع من ملف مكتبة الارتباط الديناميكي (DLL) لبرنامج Excel - في الحملات الضارة أيضًا ، على الرغم من أنها ليست زيادة كبيرة مثل استخدام ملفات ISO و RAR و LNK ، لاحظوا.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://threatpost.com/threat-pivot-microsofts-macro/180319/
- :لديها
- :يكون
- :ليس
- $ UP
- 2021
- 2022
- 50
- 66
- 700
- a
- حول المستشفى
- سوء المعاملة
- وفقا
- في
- الجهات الفاعلة
- تضيف
- مضيفا
- إضافي
- سمح
- أيضا
- البديل
- بالرغم ان
- دائما
- من بين
- an
- و
- تظهر
- التطبيقات
- التطبيقات
- هي
- حول
- AS
- At
- مهاجمة
- محاولة
- تلقائيا
- أتمتة
- على أساس
- BE
- لان
- كان
- البداية
- بدأت
- يجري
- أفضل
- ما بين
- حظر
- حجب
- المدونة
- على حد سواء
- لكن
- by
- الحملات
- CAN
- قناة
- الكود
- تزامنت
- يأتي
- آت
- حول الشركة
- الشركة
- وعاء
- محتوى
- استمر
- إقناع
- استطاع
- قطع
- مجرمو الإنترنت
- دانيال
- البيانات
- تخفيض
- انخفض
- الترتيب
- الدفاع
- نقل
- التوصيل
- التظاهر
- نشر
- مباشرة
- معاق
- نشر
- وثيقة
- وثائق
- هل
- لا
- ديناميكي
- البريد الإلكتروني
- تمكين
- تمكين
- تماما
- أخلاقي
- Excel
- تنفيذ
- بعيدا
- قم بتقديم
- ملفات
- العثور على
- يتبع
- في حالة
- وجدت
- FRAME
- كثيرا
- تبدأ من
- دولار فقط واحصل على خصم XNUMX% على جميع
- ذهب
- قراصنة
- يملك
- تاريخ
- مضيف
- HTTPS
- معرف
- تحديد
- in
- بما فيه
- القيمة الاسمية
- زيادة
- على نحو متزايد
- أمن تكنولوجيا المعلومات
- في الداخل
- Internet
- ISO
- IT
- أمن تكنولوجيا المعلومات
- انها
- يونيو
- علم
- معروف
- المشهد
- أكبر
- الأقل
- أقل
- الاستفادة من
- المكتبة
- على الأرجح
- LINK
- طويل
- وحدات الماكرو
- البرمجيات الخبيثة
- علامة
- ماكس العرض
- آليات
- طريقة
- الأكثر من ذلك
- أكثر
- خطوة
- متعدد
- تقريبا
- جديد
- بريدك الإلكتروني
- لا
- جدير بالذكر
- وأشار
- الآن
- عدد
- شهر اكتوبر
- of
- خصم
- Office
- on
- جاكيت
- مزيد من الخيارات
- or
- أخرى
- أخرى
- نظرة عامة
- جزء
- فى المائة
- التصيد
- محور
- خطة
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- الرائج
- منشور
- ابتدائي
- الأخيرة
- الاعتماد
- بحث
- الباحثين
- مرونة
- أظهرت
- يجري
- قال
- نفسه
- أمن
- بدا
- رأيت
- إرسال
- نقل
- التحولات
- يظهر
- هام
- الاشارات
- عزباء
- So
- حتى الآن
- بعض
- متخصصة
- جدول
- بداية
- لا يزال
- الإستراتيجيات
- هذه
- جناح
- نظام
- التكتيكات
- المهام
- فريق
- أن
- •
- من مشاركة
- منهم
- أنفسهم
- تشبه
- هم
- هذا العام
- على الرغم من؟
- التهديد
- الجهات التهديد
- الخميس
- الوقت
- إلى
- منعطف أو دور
- تحول
- نوع
- أنواع
- نموذجي
- عادة
- إلحاح
- تستخدم
- مستعمل
- مستخدم
- المستخدمين
- استخدام
- VBA
- سفن
- ضحايا
- طريق..
- الويب
- حسن
- ابحث عن
- متى
- سواء
- التي
- في حين
- سوف
- نوافذ
- مع
- كتب
- عام
- زفيرنت
- الرمز البريدي