Los actores de amenazas giran en torno al bloqueo de macros de Microsoft en Office

Los actores de amenazas están encontrando su camino alrededor del bloqueo predeterminado de macros de Microsoft en su suite de Office, utilizando archivos alternativos para alojar cargas maliciosas ahora que se está cortando un canal principal para la entrega de amenazas, según descubrieron los investigadores.

El uso de archivos adjuntos habilitados para macros por parte de los actores de amenazas disminuyó alrededor de un 66 por ciento entre octubre de 2021 y junio de 2022, según nuevos datos revelados por Proofpoint. en un blog Jueves. El comienzo de la disminución coincidió con el plan de Microsoft de comenzar a bloquear las macros XL4 de forma predeterminada para los usuarios de Excel, seguido con el bloqueo de las macros de VBA de forma predeterminada en toda la suite de Office este año.

Los actores de amenazas, demostrando su resistencia típica, hasta ahora no parecen intimidados por el movimiento, que marca "uno de los cambios más grandes en el panorama de amenazas de correo electrónico en la historia reciente", dijeron los investigadores Selena Larson, Daniel Blackford y otros en el Equipo de investigación de amenazas de Proofpoint, en el una publicación.

Aunque los ciberdelincuentes por ahora continúan empleando macros en documentos maliciosos utilizados en campañas de phishing, también han comenzado a girar en torno a la estrategia de defensa de Microsoft recurriendo a otros tipos de archivos como recipientes para el malware, a saber, archivos contenedores como archivos adjuntos ISO y RAR, así como Archivos de acceso directo de Windows (LNK), dijeron.

De hecho, en el mismo período de ocho meses en el que disminuyó el uso de documentos habilitados para macros, la cantidad de campañas maliciosas que aprovechan los archivos contenedores, incluidos los archivos adjuntos ISO, RAR y LNK, aumentó casi un 175 por ciento, según los investigadores.

“Es probable que los actores de amenazas continúen usando formatos de archivo de contenedor para entregar malware, mientras confían menos en los archivos adjuntos habilitados para macros”, señalaron.

¿No más macros?

Las macros, que se utilizan para automatizar tareas de uso frecuente en Office, se encuentran entre las más formas populares para entregar malware en archivos adjuntos de correo electrónico malicioso durante al menos la mayor parte de una década, ya que se pueden permitir con un simple clic del mouse por parte del usuario cuando se le solicite.

Durante mucho tiempo, las macros se han deshabilitado de forma predeterminada en Office, aunque los usuarios siempre podían habilitarlas, lo que ha permitido a los actores de amenazas armar tanto las macros de VBA, que pueden ejecutar automáticamente contenido malicioso cuando las macros están habilitadas en las aplicaciones de Office, como las macros XL4 específicas de Excel. . Por lo general, los actores utilizan diseñado socialmente campañas de phishing para convencer a las víctimas de la urgencia de habilitar macros para que puedan abrir lo que no saben que son archivos adjuntos maliciosos.

Si bien el movimiento de Microsoft para bloquear las macros por completo hasta ahora no ha disuadido a los actores de amenazas de usarlas por completo, ha estimulado este cambio notable hacia otras tácticas, dijeron los investigadores de Proofpoint.

La clave de este cambio son las tácticas para eludir el método de Microsoft para bloquear las macros de VBA basadas en un atributo Mark of the Web (MOTW) que muestra si un archivo proviene de Internet conocido como Zone.Identifier, señalaron los investigadores.

“Las aplicaciones de Microsoft agregan esto a algunos documentos cuando se descargan de la web”, escribieron. "Sin embargo, MOTW se puede omitir mediante el uso de formatos de archivo contenedor".

De hecho, la empresa de seguridad informática Outflank convenientemente detallado múltiples opciones para los hackers éticos que se especializan en la simulación de ataques, conocidos como "equipos rojos", para eludir los mecanismos MOTW, según Proofpoint. La publicación no parece haber pasado desapercibida para los actores de amenazas, ya que también han comenzado a implementar estas tácticas, dijeron los investigadores.

Cambio de formato de archivo

Para eludir el bloqueo de macros, los atacantes utilizan cada vez más formatos de archivo como ISO (.iso), RAR (.rar), ZIP (.zip) e IMG (.img) para enviar documentos habilitados para macros, dijeron los investigadores. Esto se debe a que, aunque los propios archivos tendrán el atributo MOTW, el documento que contienen, como una hoja de cálculo habilitada para macros, no lo tendrá, señalaron los investigadores.

“Cuando se extrae el documento, el usuario aún tendrá que habilitar las macros para que el código malicioso se ejecute automáticamente, pero el sistema de archivos no identificará el documento como proveniente de la web”, escribieron en la publicación.

Además, los actores de amenazas pueden usar archivos contenedores para distribuir cargas útiles directamente agregando contenido adicional como LNK, DLLs, o archivos ejecutables (.exe) que se pueden usar para ejecutar una carga maliciosa, dijeron los investigadores.

Proofpoint también ha visto un ligero aumento en el abuso de archivos XLL, un tipo de archivo de biblioteca de vínculos dinámicos (DLL) para Excel, también en campañas maliciosas, aunque no un aumento tan significativo como el uso de archivos ISO, RAR y LNK. , señalaron.