Οι εγκληματίες του κυβερνοχώρου στρέφονται σε αρχεία κοντέινερ και άλλες τακτικές για να παρακάμψουν την προσπάθεια της εταιρείας να αποτρέψει έναν δημοφιλή τρόπο παράδοσης κακόβουλων ωφέλιμων φορτίων ηλεκτρονικού ψαρέματος.
Οι παράγοντες απειλών βρίσκουν τον δρόμο τους γύρω από τον προεπιλεγμένο αποκλεισμό μακροεντολών της Microsoft στη σουίτα του Office, χρησιμοποιώντας εναλλακτικά αρχεία για τη φιλοξενία κακόβουλων ωφέλιμων φορτίων τώρα που έχει αποκοπεί ένα κύριο κανάλι για την παράδοση απειλών, ανακάλυψαν ερευνητές.
Η χρήση συνημμένων με δυνατότητα μακροεντολών από παράγοντες απειλών μειώθηκε περίπου κατά 66% μεταξύ Οκτωβρίου 2021 και Ιουνίου 2022, σύμφωνα με νέα στοιχεία της Proofpoint που αποκαλύπτει σε ένα blog post Πέμπτη. Η αρχή της μείωσης συνέπεσε με το σχέδιο της Microsoft να αρχίσει να αποκλείει τις μακροεντολές XL4 από προεπιλογή για τους χρήστες του Excel, ενώ ακολούθησε τον αποκλεισμό των μακροεντολών VBA από προεπιλογή σε όλη τη σουίτα του Office φέτος.
Οι παράγοντες απειλών, επιδεικνύοντας την τυπική τους ανθεκτικότητα, μέχρι στιγμής εμφανίζονται απτόητοι από την κίνηση, η οποία σηματοδοτεί «μία από τις μεγαλύτερες αλλαγές στο τοπίο απειλών email στην πρόσφατη ιστορία», είπαν οι ερευνητές Selena Larson, Daniel Blackford και άλλοι στην ερευνητική ομάδα Proofpoint Threat. μία ανάρτηση.
Αν και οι εγκληματίες του κυβερνοχώρου συνεχίζουν προς το παρόν να χρησιμοποιούν μακροεντολές σε κακόβουλα έγγραφα που χρησιμοποιούνται σε καμπάνιες phishing, έχουν επίσης αρχίσει να περιστρέφονται γύρω από την αμυντική στρατηγική της Microsoft στρέφοντας σε άλλους τύπους αρχείων, όπως δοχεία για κακόβουλο λογισμικό—δηλαδή, αρχεία κοντέινερ, όπως συνημμένα ISO και RAR, καθώς και Αρχεία συντόμευσης των Windows (LNK), είπαν.
Πράγματι, στο ίδιο χρονικό διάστημα οκτώ μηνών κατά το οποίο μειώθηκε η χρήση εγγράφων με δυνατότητα μακροεντολών, ο αριθμός των κακόβουλων καμπανιών που αξιοποιούν αρχεία κοντέινερ, συμπεριλαμβανομένων των συνημμένων ISO, RAR και LNK αυξήθηκε σχεδόν κατά 175 τοις εκατό, διαπίστωσαν οι ερευνητές.
«Είναι πιθανό οι φορείς απειλών να συνεχίσουν να χρησιμοποιούν μορφές αρχείων κοντέινερ για να παρέχουν κακόβουλο λογισμικό, ενώ θα βασίζονται λιγότερο σε συνημμένα με δυνατότητα μακροεντολών», σημείωσαν.
Μακροεντολές Όχι άλλα;
Οι μακροεντολές, οι οποίες χρησιμοποιούνται για την αυτοματοποίηση εργασιών που χρησιμοποιούνται συχνά στο Office, είναι από τις περισσότερες δημοφιλείς τρόπους για την παράδοση κακόβουλου λογισμικού σε κακόβουλα συνημμένα email για τουλάχιστον το καλύτερο μέρος μιας δεκαετίας, καθώς μπορούν να επιτραπούν με ένα απλό, μόνο κλικ του ποντικιού από την πλευρά του χρήστη όταν τους ζητηθεί.
Οι μακροεντολές είναι εδώ και καιρό απενεργοποιημένες από προεπιλογή στο Office, αν και οι χρήστες μπορούσαν πάντα να τις ενεργοποιήσουν, κάτι που επέτρεψε στους παράγοντες απειλών να οπλίζουν και τις δύο μακροεντολές VBA, οι οποίες μπορούν να εκτελούν αυτόματα κακόβουλο περιεχόμενο όταν είναι ενεργοποιημένες οι μακροεντολές σε εφαρμογές του Office, καθώς και μακροεντολές XL4 ειδικά για το Excel . Συνήθως χρησιμοποιούν οι ηθοποιοί κοινωνικά μηχανικής phishing καμπάνιες για να πείσουν τα θύματα του επείγοντος να ενεργοποιήσουν τις μακροεντολές ώστε να μπορούν να ανοίξουν αυτά που δεν γνωρίζουν ότι είναι κακόβουλα συνημμένα αρχεία.
Ενώ η κίνηση της Microsoft να μπλοκάρει εντελώς τις μακροεντολές μέχρι στιγμής δεν έχει αποτρέψει τους παράγοντες απειλών από το να τις χρησιμοποιήσουν πλήρως, έχει ωθήσει αυτή την αξιοσημείωτη στροφή σε άλλες τακτικές, είπαν οι ερευνητές της Proofpoint.
Κλειδί για αυτή τη μετατόπιση είναι οι τακτικές για την παράκαμψη της μεθόδου της Microsoft για τον αποκλεισμό μακροεντολών VBA που βασίζεται σε ένα χαρακτηριστικό Mark of the Web (MOTW) που δείχνει εάν ένα αρχείο προέρχεται από το διαδίκτυο γνωστό ως Zone.Identifier, σημείωσαν οι ερευνητές.
«Οι εφαρμογές της Microsoft προσθέτουν αυτό σε ορισμένα έγγραφα όταν τα κατεβαίνουν από τον Ιστό», έγραψαν. "Ωστόσο, το MOTW μπορεί να παρακαμφθεί χρησιμοποιώντας μορφές αρχείων κοντέινερ."
Πράγματι, η εταιρεία ασφάλειας IT Outflank βολικά λεπτομερής πολλαπλές επιλογές για ηθικούς χάκερ που ειδικεύονται στην προσομοίωση επίθεσης —γνωστοί ως «κόκκινοι teamers»—για να παρακάμψουν τους μηχανισμούς MOTW, σύμφωνα με το Proofpoint. Η ανάρτηση δεν φαίνεται να πέρασε απαρατήρητη από τους παράγοντες απειλών, καθώς έχουν αρχίσει επίσης να αναπτύσσουν αυτές τις τακτικές, είπαν οι ερευνητές.
File-Format Switcheroo
Για να παρακάμψουν τον αποκλεισμό μακροεντολών, οι εισβολείς χρησιμοποιούν ολοένα και περισσότερο μορφές αρχείων όπως αρχεία ISO (.iso), RAR (.rar), ZIP (.zip) και IMG (.img) για να στείλουν έγγραφα με δυνατότητα μακροεντολής, είπαν οι ερευνητές. Αυτό οφείλεται στο γεγονός ότι αν και τα ίδια τα αρχεία θα έχουν το χαρακτηριστικό MOTW, το έγγραφο μέσα, όπως ένα υπολογιστικό φύλλο με δυνατότητα μακροεντολών, δεν θα έχει, σημείωσαν οι ερευνητές.
«Όταν εξάγεται το έγγραφο, ο χρήστης θα πρέπει να ενεργοποιήσει τις μακροεντολές για την αυτόματη εκτέλεση του κακόβουλου κώδικα, αλλά το σύστημα αρχείων δεν θα αναγνωρίσει ότι το έγγραφο προέρχεται από τον Ιστό», έγραψαν στην ανάρτηση.
Επιπλέον, οι φορείς απειλών μπορούν να χρησιμοποιήσουν αρχεία κοντέινερ για τη διανομή ωφέλιμων φορτίων απευθείας προσθέτοντας πρόσθετο περιεχόμενο, όπως LNK, DLLs, ή εκτελέσιμα αρχεία (.exe) που μπορούν να χρησιμοποιηθούν για την εκτέλεση ενός κακόβουλου ωφέλιμου φορτίου, είπαν οι ερευνητές.
Η Proofpoint έχει επίσης μια ελαφρά αύξηση στην κατάχρηση αρχείων XLL —έναν τύπο αρχείου βιβλιοθήκης δυναμικής σύνδεσης (DLL) για το Excel— και σε κακόβουλες καμπάνιες, αν και όχι τόσο σημαντική όσο η χρήση αρχείων ISO, RAR και LNK , σημείωσαν.
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
- PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
- πηγή: https://threatpost.com/threat-pivot-microsofts-macro/180319/
- :έχει
- :είναι
- :δεν
- $UP
- 2021
- 2022
- 50
- 66
- 700
- a
- Σχετικα
- κατάχρηση
- Σύμφωνα με
- απέναντι
- φορείς
- προσθέτω
- προσθήκη
- Πρόσθετος
- επιτρέπεται
- Επίσης
- εναλλακτική λύση
- Αν και
- πάντοτε
- μεταξύ των
- an
- και
- εμφανίζομαι
- εφαρμογές
- εφαρμογές
- ΕΙΝΑΙ
- γύρω
- AS
- At
- επίθεση
- απόπειρα
- αυτομάτως
- αυτοματοποίηση
- βασίζονται
- BE
- επειδή
- ήταν
- Αρχή
- άρχισε
- είναι
- Καλύτερα
- μεταξύ
- Αποκλεισμός
- κλείδωμα
- Μπλοκ
- και οι δύο
- αλλά
- by
- Καμπάνιες
- CAN
- Κανάλι
- κωδικός
- συνέπεσε
- έρχεται
- ερχομός
- εταίρα
- Εταιρεία
- Δοχείο
- περιεχόμενο
- ΣΥΝΕΧΕΙΑ
- πείθω
- θα μπορούσε να
- Τομή
- εγκληματίες του κυβερνοχώρου
- Daniel
- ημερομηνία
- μείωση
- μειώθηκε
- Προεπιλογή
- Άμυνα
- παραδώσει
- διανομή
- αποδεικνύοντας
- παρατάσσω
- κατευθείαν
- ανάπηρος
- διανέμω
- έγγραφο
- έγγραφα
- κάνει
- Μην
- δυναμικός
- ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ
- ενεργοποιήσετε
- ενεργοποιημένη
- εξ ολοκλήρου
- ηθικά
- Excel
- εκτελέσει
- μακριά
- Αρχεία
- Αρχεία
- εύρεση
- ακολουθείται
- Για
- Βρέθηκαν
- ΠΛΑΙΣΙΟ
- συχνά
- από
- παίρνω
- φύγει
- χάκερ
- Έχω
- ιστορία
- οικοδεσπότης
- HTTPS
- αναγνωριστικό
- προσδιορίσει
- in
- Συμπεριλαμβανομένου
- Αυξάνουν
- αυξημένη
- όλο και περισσότερο
- πληροφορίες
- μέσα
- Internet
- ISO
- IT
- την ασφάλεια
- ΤΟΥ
- Ιούνιος
- Ξέρω
- γνωστός
- τοπίο
- μεγαλύτερη
- ελάχιστα
- μείον
- μόχλευσης
- Βιβλιοθήκη
- Πιθανός
- LINK
- Μακριά
- μακροεντολές
- malware
- σημάδι
- max-width
- μηχανισμούς
- μέθοδος
- περισσότερο
- πλέον
- μετακινήσετε
- πολλαπλούς
- σχεδόν
- Νέα
- Newsletter
- Όχι.
- αξιοσημείωτο
- Σημειώνεται
- τώρα
- αριθμός
- Οκτώβριος
- of
- off
- Office
- on
- ανοίξτε
- Επιλογές
- or
- ΑΛΛΑ
- Άλλα
- επισκόπηση
- μέρος
- τοις εκατό
- Phishing
- άξονας περιστροφής
- σχέδιο
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- Δημοφιλής
- Θέση
- πρωταρχικός
- πρόσφατος
- βασιζόμενοι
- έρευνα
- ερευνητές
- ανθεκτικότητα
- Αποκαλυφθε'ντα
- τρέξιμο
- Είπε
- ίδιο
- ασφάλεια
- φαίνομαι
- δει
- στείλετε
- αλλαγή
- Βάρδιες
- Δείχνει
- σημαντικός
- Απλούς
- ενιαίας
- So
- μέχρι τώρα
- μερικοί
- ειδικευμένη
- Υπολογιστικό φύλλο
- Εκκίνηση
- Ακόμη
- Στρατηγική
- τέτοιος
- σουίτα
- σύστημα
- τακτική
- εργασίες
- ότι
- Η
- τους
- Τους
- τους
- Αυτοί
- αυτοί
- αυτό
- φέτος
- αν και?
- απειλή
- απειλή
- Πέμπτη
- ώρα
- προς την
- ΣΤΡΟΦΗ
- Στροφή
- τύπος
- τύποι
- τυπικός
- συνήθως
- επείγον
- χρήση
- μεταχειρισμένος
- Χρήστες
- Χρήστες
- χρησιμοποιώντας
- VBA
- σκάφη
- θύματα
- Τρόπος..
- ιστός
- ΛΟΙΠΌΝ
- Τι
- πότε
- αν
- Ποιό
- ενώ
- θα
- παράθυρα
- με
- Έγραψε
- έτος
- zephyrnet
- Zip