Οι ηθοποιοί απειλών περιστρέφονται γύρω από τον αποκλεισμό μακροεντολών της Microsoft στο Office

Οι παράγοντες απειλών βρίσκουν τον δρόμο τους γύρω από τον προεπιλεγμένο αποκλεισμό μακροεντολών της Microsoft στη σουίτα του Office, χρησιμοποιώντας εναλλακτικά αρχεία για τη φιλοξενία κακόβουλων ωφέλιμων φορτίων τώρα που έχει αποκοπεί ένα κύριο κανάλι για την παράδοση απειλών, ανακάλυψαν ερευνητές.

Η χρήση συνημμένων με δυνατότητα μακροεντολών από παράγοντες απειλών μειώθηκε περίπου κατά 66% μεταξύ Οκτωβρίου 2021 και Ιουνίου 2022, σύμφωνα με νέα στοιχεία της Proofpoint που αποκαλύπτει σε ένα blog post Πέμπτη. Η αρχή της μείωσης συνέπεσε με το σχέδιο της Microsoft να αρχίσει να αποκλείει τις μακροεντολές XL4 από προεπιλογή για τους χρήστες του Excel, ενώ ακολούθησε τον αποκλεισμό των μακροεντολών VBA από προεπιλογή σε όλη τη σουίτα του Office φέτος.

Οι παράγοντες απειλών, επιδεικνύοντας την τυπική τους ανθεκτικότητα, μέχρι στιγμής εμφανίζονται απτόητοι από την κίνηση, η οποία σηματοδοτεί «μία από τις μεγαλύτερες αλλαγές στο τοπίο απειλών email στην πρόσφατη ιστορία», είπαν οι ερευνητές Selena Larson, Daniel Blackford και άλλοι στην ερευνητική ομάδα Proofpoint Threat. μία ανάρτηση.

Αν και οι εγκληματίες του κυβερνοχώρου συνεχίζουν προς το παρόν να χρησιμοποιούν μακροεντολές σε κακόβουλα έγγραφα που χρησιμοποιούνται σε καμπάνιες phishing, έχουν επίσης αρχίσει να περιστρέφονται γύρω από την αμυντική στρατηγική της Microsoft στρέφοντας σε άλλους τύπους αρχείων, όπως δοχεία για κακόβουλο λογισμικό—δηλαδή, αρχεία κοντέινερ, όπως συνημμένα ISO και RAR, καθώς και Αρχεία συντόμευσης των Windows (LNK), είπαν.

Πράγματι, στο ίδιο χρονικό διάστημα οκτώ μηνών κατά το οποίο μειώθηκε η χρήση εγγράφων με δυνατότητα μακροεντολών, ο αριθμός των κακόβουλων καμπανιών που αξιοποιούν αρχεία κοντέινερ, συμπεριλαμβανομένων των συνημμένων ISO, RAR και LNK αυξήθηκε σχεδόν κατά 175 τοις εκατό, διαπίστωσαν οι ερευνητές.

«Είναι πιθανό οι φορείς απειλών να συνεχίσουν να χρησιμοποιούν μορφές αρχείων κοντέινερ για να παρέχουν κακόβουλο λογισμικό, ενώ θα βασίζονται λιγότερο σε συνημμένα με δυνατότητα μακροεντολών», σημείωσαν.

Μακροεντολές Όχι άλλα;

Οι μακροεντολές, οι οποίες χρησιμοποιούνται για την αυτοματοποίηση εργασιών που χρησιμοποιούνται συχνά στο Office, είναι από τις περισσότερες δημοφιλείς τρόπους για την παράδοση κακόβουλου λογισμικού σε κακόβουλα συνημμένα email για τουλάχιστον το καλύτερο μέρος μιας δεκαετίας, καθώς μπορούν να επιτραπούν με ένα απλό, μόνο κλικ του ποντικιού από την πλευρά του χρήστη όταν τους ζητηθεί.

Οι μακροεντολές είναι εδώ και καιρό απενεργοποιημένες από προεπιλογή στο Office, αν και οι χρήστες μπορούσαν πάντα να τις ενεργοποιήσουν, κάτι που επέτρεψε στους παράγοντες απειλών να οπλίζουν και τις δύο μακροεντολές VBA, οι οποίες μπορούν να εκτελούν αυτόματα κακόβουλο περιεχόμενο όταν είναι ενεργοποιημένες οι μακροεντολές σε εφαρμογές του Office, καθώς και μακροεντολές XL4 ειδικά για το Excel . Συνήθως χρησιμοποιούν οι ηθοποιοί κοινωνικά μηχανικής phishing καμπάνιες για να πείσουν τα θύματα του επείγοντος να ενεργοποιήσουν τις μακροεντολές ώστε να μπορούν να ανοίξουν αυτά που δεν γνωρίζουν ότι είναι κακόβουλα συνημμένα αρχεία.

Ενώ η κίνηση της Microsoft να μπλοκάρει εντελώς τις μακροεντολές μέχρι στιγμής δεν έχει αποτρέψει τους παράγοντες απειλών από το να τις χρησιμοποιήσουν πλήρως, έχει ωθήσει αυτή την αξιοσημείωτη στροφή σε άλλες τακτικές, είπαν οι ερευνητές της Proofpoint.

Κλειδί για αυτή τη μετατόπιση είναι οι τακτικές για την παράκαμψη της μεθόδου της Microsoft για τον αποκλεισμό μακροεντολών VBA που βασίζεται σε ένα χαρακτηριστικό Mark of the Web (MOTW) που δείχνει εάν ένα αρχείο προέρχεται από το διαδίκτυο γνωστό ως Zone.Identifier, σημείωσαν οι ερευνητές.

«Οι εφαρμογές της Microsoft προσθέτουν αυτό σε ορισμένα έγγραφα όταν τα κατεβαίνουν από τον Ιστό», έγραψαν. "Ωστόσο, το MOTW μπορεί να παρακαμφθεί χρησιμοποιώντας μορφές αρχείων κοντέινερ."

Πράγματι, η εταιρεία ασφάλειας IT Outflank βολικά λεπτομερής πολλαπλές επιλογές για ηθικούς χάκερ που ειδικεύονται στην προσομοίωση επίθεσης —γνωστοί ως «κόκκινοι teamers»—για να παρακάμψουν τους μηχανισμούς MOTW, σύμφωνα με το Proofpoint. Η ανάρτηση δεν φαίνεται να πέρασε απαρατήρητη από τους παράγοντες απειλών, καθώς έχουν αρχίσει επίσης να αναπτύσσουν αυτές τις τακτικές, είπαν οι ερευνητές.

File-Format Switcheroo

Για να παρακάμψουν τον αποκλεισμό μακροεντολών, οι εισβολείς χρησιμοποιούν ολοένα και περισσότερο μορφές αρχείων όπως αρχεία ISO (.iso), RAR (.rar), ZIP (.zip) και IMG (.img) για να στείλουν έγγραφα με δυνατότητα μακροεντολής, είπαν οι ερευνητές. Αυτό οφείλεται στο γεγονός ότι αν και τα ίδια τα αρχεία θα έχουν το χαρακτηριστικό MOTW, το έγγραφο μέσα, όπως ένα υπολογιστικό φύλλο με δυνατότητα μακροεντολών, δεν θα έχει, σημείωσαν οι ερευνητές.

«Όταν εξάγεται το έγγραφο, ο χρήστης θα πρέπει να ενεργοποιήσει τις μακροεντολές για την αυτόματη εκτέλεση του κακόβουλου κώδικα, αλλά το σύστημα αρχείων δεν θα αναγνωρίσει ότι το έγγραφο προέρχεται από τον Ιστό», έγραψαν στην ανάρτηση.

Επιπλέον, οι φορείς απειλών μπορούν να χρησιμοποιήσουν αρχεία κοντέινερ για τη διανομή ωφέλιμων φορτίων απευθείας προσθέτοντας πρόσθετο περιεχόμενο, όπως LNK, DLLs, ή εκτελέσιμα αρχεία (.exe) που μπορούν να χρησιμοποιηθούν για την εκτέλεση ενός κακόβουλου ωφέλιμου φορτίου, είπαν οι ερευνητές.

Η Proofpoint έχει επίσης μια ελαφρά αύξηση στην κατάχρηση αρχείων XLL —έναν τύπο αρχείου βιβλιοθήκης δυναμικής σύνδεσης (DLL) για το Excel— και σε κακόβουλες καμπάνιες, αν και όχι τόσο σημαντική όσο η χρήση αρχείων ISO, RAR και LNK , σημείωσαν.