Bedrohungsakteure drehen sich um die Makroblockierung von Microsoft in Office

Bedrohungsakteure finden ihren Weg um Microsofts standardmäßige Blockierung von Makros in seiner Office-Suite herum und verwenden alternative Dateien, um bösartige Payloads zu hosten, nachdem ein primärer Kanal für die Bedrohungsübermittlung abgeschnitten wurde, haben Forscher herausgefunden.

Die Verwendung von Makros-fähigen Anhängen durch Bedrohungsakteure ging laut neuen Daten von Proofpoint zwischen Oktober 66 und Juni 2021 um etwa 2022 Prozent zurück in einem Blog-Post Donnerstag. Der Beginn des Rückgangs fiel mit dem Plan von Microsoft zusammen, XL4-Makros standardmäßig für Excel-Benutzer zu blockieren, gefolgt von der standardmäßigen Blockierung von VBA-Makros in der gesamten Office-Suite in diesem Jahr.

Bedrohungsakteure, die ihre typische Resilienz demonstrieren, scheinen bisher von dem Schritt unerschrocken zu sein, der „eine der größten Veränderungen in der E-Mail-Bedrohungslandschaft in der jüngeren Geschichte“ darstellt, sagten die Forscher Selena Larson, Daniel Blackford und andere vom Proofpoint Threat Research Team Ein Eintrag.

Obwohl Cyberkriminelle vorerst weiterhin Makros in schädlichen Dokumenten einsetzen, die in Phishing-Kampagnen verwendet werden, haben sie auch begonnen, sich um die Verteidigungsstrategie von Microsoft zu drehen, indem sie sich anderen Dateitypen als Behälter für Malware zuwenden – nämlich Containerdateien wie ISO- und RAR-Anhänge sowie Windows Shortcut (LNK)-Dateien, sagten sie.

Forscher fanden heraus, dass im gleichen Zeitraum von acht Monaten, in dem die Verwendung von Makros-fähigen Dokumenten zurückging, die Anzahl bösartiger Kampagnen, die Containerdateien wie ISO-, RAR- und LNK-Anhänge nutzen, um fast 175 Prozent gestiegen ist.

„Es ist wahrscheinlich, dass Bedrohungsakteure weiterhin Container-Dateiformate verwenden werden, um Malware zu verbreiten, während sie sich weniger auf makrofähige Anhänge verlassen“, stellten sie fest.

Keine Makros mehr?

Makros, die zur Automatisierung häufig verwendeter Aufgaben in Office verwendet werden, gehören zu den häufigsten beliebte Wege mindestens Malware in bösartigen E-Mail-Anhängen auszuliefern der bessere Teil eines Jahrzehnts, da sie mit einem einfachen, einmaligen Mausklick seitens des Benutzers nach Aufforderung erlaubt werden können.

Makros sind in Office seit langem standardmäßig deaktiviert, obwohl Benutzer sie immer aktivieren konnten – was es Angreifern ermöglicht hat, sowohl VBA-Makros, die automatisch schädliche Inhalte ausführen können, wenn Makros in Office-Apps aktiviert sind, als auch Excel-spezifische XL4-Makros zu bewaffnen . Typischerweise verwenden die Schauspieler sozial entwickelt Phishing-Kampagnen um die Opfer von der Dringlichkeit zu überzeugen, Makros zu aktivieren, damit sie Dateianhänge öffnen können, von denen sie nicht wissen, dass sie bösartig sind.

Während der Schritt von Microsoft, Makros vollständig zu blockieren, bisher Bedrohungsakteure nicht davon abgehalten hat, sie vollständig zu verwenden, hat er diese bemerkenswerte Verlagerung auf andere Taktiken vorangetrieben, sagten Proofpoint-Forscher.

Der Schlüssel zu dieser Verschiebung sind Taktiken, um die Methode von Microsoft zu umgehen, VBA-Makros basierend auf einem Mark of the Web (MOTW)-Attribut zu blockieren, das anzeigt, ob eine Datei aus dem Internet stammt, die als Zone.Identifier bekannt ist, stellten die Forscher fest.

„Microsoft-Anwendungen fügen dies einigen Dokumenten hinzu, wenn sie aus dem Internet heruntergeladen werden“, schrieben sie. „MOTW kann jedoch durch die Verwendung von Containerdateiformaten umgangen werden.“

In der Tat, IT-Sicherheitsunternehmen Outflank bequem detailliert Mehrere Optionen für ethische Hacker, die auf Angriffssimulationen spezialisiert sind – bekannt als „Red Teamer“ –, um MOTW-Mechanismen zu umgehen, so Proofpoint. Die Post scheint von Bedrohungsakteuren nicht unbemerkt geblieben zu sein, da sie auch begonnen haben, diese Taktiken anzuwenden, sagten Forscher.

Dateiformat Switcheroo

Um das Blockieren von Makros zu umgehen, verwenden Angreifer zunehmend Dateiformate wie ISO- (.iso), RAR- (.rar), ZIP- (.zip) und IMG-Dateien (.img), um makrofähige Dokumente zu senden, sagten Forscher. Dies liegt daran, dass, obwohl die Dateien selbst das MOTW-Attribut haben, das darin enthaltene Dokument, wie z. B. eine makrofähige Tabellenkalkulation, dies nicht tut, stellten die Forscher fest.

„Wenn das Dokument extrahiert wird, muss der Benutzer immer noch Makros aktivieren, damit der bösartige Code automatisch ausgeführt wird, aber das Dateisystem erkennt das Dokument nicht als aus dem Internet stammend“, schrieben sie in der Post.

Darüber hinaus können Bedrohungsakteure Containerdateien verwenden, um Payloads direkt zu verteilen, indem sie zusätzliche Inhalte wie LNKs hinzufügen, DLLs, oder ausführbare (.exe) Dateien, die verwendet werden können, um eine bösartige Nutzlast auszuführen, sagten Forscher.

Proofpoint hat auch einen leichten Anstieg beim Missbrauch von XLL-Dateien – einer Art DLL-Datei (Dynamic Link Library) für Excel – in böswilligen Kampagnen festgestellt, wenn auch nicht so deutlich wie bei der Verwendung von ISO-, RAR- und LNK-Dateien , stellten sie fest.