Verkkorikolliset turvautuvat konttitiedostoihin ja muihin taktiikoihin kiertääkseen yrityksen yrityksen estää suosittu tapa toimittaa haitallisia phishing-hyötykuormia.
Uhkatoimijat löytävät tiensä Microsoftin Office-ohjelmiston makrojen oletusestoon käyttämällä vaihtoehtoisia tiedostoja haitallisten hyötykuormien isännöimiseen nyt, kun ensisijainen uhkien toimittamisen kanava on katkaistu, tutkijat ovat havainneet.
Uhkatoimijoiden makro-yhteensopivien liitteiden käyttö väheni noin 66 prosenttia lokakuun 2021 ja kesäkuun 2022 välisenä aikana Proofpointin uusien tietojen mukaan. kirjoitusta Torstai. Vähennyksen alku osui samaan aikaan Microsoftin suunnitelman kanssa aloittaa XL4-makrojen oletuksena estäminen Excel-käyttäjiltä, minkä jälkeen VBA-makrot estetään oletusarvoisesti Office-paketissa tänä vuonna.
Uhkatoimijat, jotka osoittavat tyypillistä kestävyyttään, näyttävät toistaiseksi pelottamattomilta siirrosta, joka on "yksi lähihistorian suurimmista sähköpostin uhkien maiseman muutoksista", tutkijat Selena Larson, Daniel Blackford ja muut Proofpoint Threat -tutkimustiimin jäsenet sanoivat. postaus.
Vaikka kyberrikolliset käyttävät toistaiseksi makroja haitallisissa asiakirjoissa, joita käytetään tietojenkalastelukampanjoissa, he ovat myös alkaneet kiertää Microsoftin puolustusstrategiaa käyttämällä muita tiedostotyyppejä haittaohjelmien alusina – nimittäin konttitiedostoja, kuten ISO- ja RAR-liitteitä sekä Windows Shortcut (LNK) -tiedostot, he sanoivat.
Tutkijat havaitsivat, että saman kahdeksan kuukauden ajanjakson aikana, jolloin makroja tukevien asiakirjojen käyttö väheni, haitallisten kampanjoiden määrä, joissa hyödynnettiin säilötiedostoja, mukaan lukien ISO-, RAR- ja LNK-liitteet, kasvoi lähes 175 prosenttia.
"On todennäköistä, että uhkatoimijat jatkavat säilön tiedostomuotojen käyttöä haittaohjelmien toimittamiseen, mutta luottavat vähemmän makro-yhteensopiviin liitteisiin", he huomauttivat.
Makroja ei enää ole?
Makrot, joita käytetään Officessa usein käytettyjen tehtävien automatisointiin, ovat olleet yksi eniten suosittuja tapoja toimittaa haittaohjelmia haitallisissa sähköpostin liitteissä vähintään vuosikymmenen parempi osa, koska ne voidaan sallia yksinkertaisella, yhdellä hiiren napsautuksella käyttäjältä pyydettäessä.
Makrot ovat pitkään olleet oletusarvoisesti pois käytöstä Officessa, vaikka käyttäjät voivat aina ottaa ne käyttöön – mikä on antanut uhkatekijöille mahdollisuuden aseistaa sekä VBA-makroja, jotka voivat suorittaa automaattisesti haitallista sisältöä, kun makrot ovat käytössä Office-sovelluksissa, että Excel-kohtaisia XL4-makroja. . Yleensä näyttelijät käyttävät sosiaalisesti suunniteltu tietojenkalastelukampanjat vakuuttaa uhrit siitä, että makrot on otettava käyttöön kiireellisesti, jotta he voivat avata haitallisia liitetiedostoja, joita he eivät tiedä olevan.
Vaikka Microsoftin toimenpide estää makrot kokonaan toistaiseksi ei ole estänyt uhkien toimijoita käyttämästä niitä kokonaan, se on kannustanut tätä huomattavaa siirtymistä muihin taktiikoihin, Proofpointin tutkijat sanoivat.
Avain tähän muutokseen on taktiikka, jolla ohitetaan Microsoftin menetelmä estää VBA-makrot Mark of the Web (MOTW) -attribuutin perusteella, joka osoittaa, tuleeko tiedosto Internetistä, joka tunnetaan nimellä Zone.Identifier, tutkijat huomauttivat.
"Microsoft-sovellukset lisäävät tämän joihinkin asiakirjoihin, kun ne ladataan verkosta", he kirjoittivat. "MOTW voidaan kuitenkin ohittaa käyttämällä konttitiedostomuotoja."
Itse asiassa IT-turvayhtiö Outflank kätevästi yksityiskohtainen Proofpointin mukaan useita vaihtoehtoja eettisille hakkereille, jotka ovat erikoistuneet hyökkäyssimulaatioihin, joita kutsutaan nimellä "punaiset tiimiläiset" ohittamaan MOTW-mekanismit. Viesti ei näytä jääneen uhkatoimijoilta huomaamatta, koska he ovat myös alkaneet käyttää näitä taktiikoita, tutkijat sanoivat.
Tiedostomuoto Switcheroo
Makrojen eston ohittamiseksi hyökkääjät käyttävät yhä useammin tiedostomuotoja, kuten ISO (.iso), RAR (.rar), ZIP (.zip) ja IMG (.img), lähettääkseen makroja tukevia asiakirjoja, tutkijat sanoivat. Tämä johtuu siitä, että vaikka tiedostoilla itsessään on MOTW-attribuutti, sen sisällä olevalla asiakirjalla, kuten makroa tukevalla laskentataulukolla, ei ole, tutkijat huomauttavat.
"Kun asiakirja puretaan, käyttäjän on silti otettava makrot käyttöön, jotta haittakoodi suoritetaan automaattisesti, mutta tiedostojärjestelmä ei tunnista dokumenttia verkosta tulevaksi", he kirjoittivat viestissä.
Lisäksi uhkatoimijat voivat käyttää konttitiedostoja jakaakseen hyötykuormia suoraan lisäämällä lisäsisältöä, kuten LNK:ita, DLL, tai suoritettavat (.exe) tiedostot, joita voidaan käyttää haitallisen hyötykuorman suorittamiseen, tutkijat sanoivat.
Proofpoint on myös havainnut hieman nousua XLL-tiedostojen – Excelin dynaamisten linkkikirjastotiedostojen (DLL-tiedostojen) – väärinkäytössä myös haitallisissa kampanjoissa, vaikkakaan ei niin merkittävässä kasvussa kuin ISO-, RAR- ja LNK-tiedostojen käyttö. , he huomauttivat.
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
- PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
- PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
- PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
- Lähde: https://threatpost.com/threat-pivot-microsofts-macro/180319/
- :on
- :On
- :ei
- $ YLÖS
- 2021
- 2022
- 50
- 66
- 700
- a
- Meistä
- hyväksikäyttö
- Mukaan
- poikki
- toimijoiden
- lisätä
- lisää
- lisä-
- sallittu
- Myös
- vaihtoehto
- Vaikka
- aina
- keskuudessa
- an
- ja
- näyttää
- sovellukset
- sovellukset
- OVAT
- noin
- AS
- At
- hyökkäys
- yritys
- automaattisesti
- automatisointi
- perustua
- BE
- koska
- ollut
- Alku
- alkaneet
- ovat
- Paremmin
- välillä
- Tukkia
- esto
- Blogi
- sekä
- mutta
- by
- Kampanjat
- CAN
- Kanava
- koodi
- samaan aikaan
- tulee
- tuleva
- yritys
- Yrityksen
- Kontti
- pitoisuus
- jatkaa
- vakuuttaa
- voisi
- Leikkaus
- verkkorikollisille
- Daniel
- tiedot
- vähentää
- vähentynyt
- oletusarvo
- Puolustus
- toimittaa
- toimitus
- esittelyssä
- sijoittaa
- suoraan
- vammaiset
- jakaa
- asiakirja
- asiakirjat
- ei
- Dont
- dynaaminen
- mahdollistaa
- käytössä
- täysin
- eettinen
- kunnostautua
- suorittaa
- paljon
- filee
- Asiakirjat
- löytäminen
- seurannut
- varten
- löytyi
- FRAME
- usein
- alkaen
- saada
- poissa
- hakkerit
- Olla
- historia
- isäntä
- HTTPS
- tunniste
- tunnistaa
- in
- Mukaan lukien
- Kasvaa
- kasvoi
- yhä useammin
- Tietoturvaviranomainen
- sisällä
- Internet
- ISO
- IT
- se turvallisuus
- SEN
- kesäkuu
- Tietää
- tunnettu
- Landschaft
- suurin
- vähiten
- vähemmän
- vipuvaikutuksen
- Kirjasto
- Todennäköisesti
- LINK
- Pitkät
- makrot
- haittaohjelmat
- Merkitse
- max-width
- mekanismit
- menetelmä
- lisää
- eniten
- liikkua
- moninkertainen
- lähes
- Uusi
- Uutiskirje
- Nro
- merkittävä
- huomattava
- nyt
- numero
- lokakuu
- of
- pois
- Office
- on
- avata
- Vaihtoehdot
- or
- Muut
- Muuta
- yleiskatsaus
- osa
- prosentti
- Phishing
- Tappi
- suunnitelma
- Platon
- Platonin tietotieto
- PlatonData
- Suosittu
- Kirje
- ensisijainen
- äskettäinen
- luottaen
- tutkimus
- Tutkijat
- kimmoisuus
- Revealed
- ajaa
- Said
- sama
- turvallisuus
- näyttää
- nähneet
- lähettää
- siirtää
- Vuorot
- Näytä
- merkittävä
- Yksinkertainen
- single
- So
- niin kaukana
- jonkin verran
- erikoistunut
- taulukkolaskentaohjelma
- Alkaa
- Yhä
- Strategia
- niin
- sviitti
- järjestelmä
- taktiikka
- tehtävät
- joukkue-
- että
- -
- heidän
- Niitä
- itse
- Nämä
- ne
- tätä
- Tämä vuosi
- vaikka?
- uhkaus
- uhka toimijat
- torstai
- aika
- että
- VUORO
- Kääntyminen
- tyyppi
- tyypit
- tyypillinen
- tyypillisesti
- kiireellisyys
- käyttää
- käytetty
- käyttäjä
- Käyttäjät
- käyttämällä
- VBA
- alukset
- uhrit
- Tapa..
- verkko
- HYVIN
- Mitä
- kun
- onko
- joka
- vaikka
- tulee
- ikkunat
- with
- kirjoitti
- vuosi
- zephyrnet
- Postinumero
