Les acteurs de la menace pivotent autour du macro-blocage de Microsoft dans Office

Les acteurs de la menace parviennent à contourner le blocage par défaut des macros de Microsoft dans sa suite Office, en utilisant des fichiers alternatifs pour héberger des charges utiles malveillantes maintenant qu'un canal principal de diffusion des menaces est coupé, ont découvert des chercheurs.

L'utilisation de pièces jointes activées par les macros par les pirates a diminué d'environ 66 % entre octobre 2021 et juin 2022, selon de nouvelles données révélées par Proofpoint dans un billet de blog Jeudi. Le début de la baisse a coïncidé avec le plan de Microsoft de commencer à bloquer les macros XL4 par défaut pour les utilisateurs d'Excel, suivi du blocage des macros VBA par défaut dans la suite Office cette année.

Les acteurs de la menace, démontrant leur résilience typique, semblent jusqu'à présent indifférents à cette décision, qui marque "l'un des plus grands changements dans le paysage des menaces par e-mail de l'histoire récente", ont déclaré les chercheurs Selena Larson, Daniel Blackford et d'autres membres de l'équipe de recherche sur les menaces de Proofpoint. une publication.

Bien que les cybercriminels continuent pour l'instant d'utiliser des macros dans les documents malveillants utilisés dans les campagnes de phishing, ils ont également commencé à s'orienter autour de la stratégie de défense de Microsoft en se tournant vers d'autres types de fichiers comme vecteurs de malwares, à savoir les fichiers conteneurs tels que les pièces jointes ISO et RAR ainsi que les Fichiers de raccourcis Windows (LNK), ont-ils dit.

En effet, au cours de la même période de huit mois au cours de laquelle l'utilisation de documents prenant en charge les macros a diminué, le nombre de campagnes malveillantes exploitant des fichiers conteneurs, notamment des pièces jointes ISO, RAR et LNK, a augmenté de près de 175 %, ont constaté les chercheurs.

"Il est probable que les acteurs de la menace continueront d'utiliser des formats de fichiers conteneurs pour diffuser des logiciels malveillants, tout en s'appuyant moins sur des pièces jointes compatibles avec les macros", ont-ils noté.

Plus de macros ?

Les macros, qui sont utilisées pour automatiser les tâches fréquemment utilisées dans Office, ont été parmi les plus manières populaires pour diffuser des logiciels malveillants dans des pièces jointes malveillantes pendant au moins la meilleure partie d'une décennie, car ils peuvent être autorisés d'un simple clic de souris de la part de l'utilisateur lorsqu'il y est invité.

Les macros ont longtemps été désactivées par défaut dans Office, bien que les utilisateurs puissent toujours les activer, ce qui a permis aux acteurs de la menace de militariser les deux macros VBA, qui peuvent exécuter automatiquement du contenu malveillant lorsque les macros sont activées dans les applications Office, ainsi que des macros XL4 spécifiques à Excel. . Généralement, les acteurs utilisent socialement conçu campagnes de phishing pour convaincre les victimes de l'urgence d'activer les macros afin qu'elles puissent ouvrir ce qu'elles ne savent pas être des pièces jointes malveillantes.

Bien que la décision de Microsoft de bloquer entièrement les macros jusqu'à présent n'ait pas dissuadé les acteurs de la menace de les utiliser entièrement, elle a stimulé ce changement notable vers d'autres tactiques, ont déclaré les chercheurs de Proofpoint.

La clé de ce changement réside dans les tactiques permettant de contourner la méthode de Microsoft pour bloquer les macros VBA basées sur un attribut Mark of the Web (MOTW) qui indique si un fichier provient d'Internet connu sous le nom de Zone.Identifier, ont noté les chercheurs.

"Les applications Microsoft ajoutent cela à certains documents lorsqu'ils sont téléchargés à partir du Web", ont-ils écrit. "Cependant, MOTW peut être contourné en utilisant des formats de fichiers conteneurs."

En effet, la société de sécurité informatique Outflank commodément détaillé Selon Proofpoint, de multiples options s'offrent aux hackers éthiques spécialisés dans la simulation d'attaques, connus sous le nom de "red teamers", pour contourner les mécanismes MOTW. Le message ne semble pas être passé inaperçu auprès des acteurs de la menace, car ils ont également commencé à déployer ces tactiques, ont déclaré des chercheurs.

Commutateur de format de fichier

Pour contourner le blocage des macros, les attaquants utilisent de plus en plus des formats de fichiers tels que les fichiers ISO (.iso), RAR (.rar), ZIP (.zip) et IMG (.img) pour envoyer des documents prenant en charge les macros, ont déclaré les chercheurs. En effet, bien que les fichiers eux-mêmes aient l'attribut MOTW, le document à l'intérieur, comme une feuille de calcul prenant en charge les macros, ne l'aura pas, ont noté les chercheurs.

"Lorsque le document est extrait, l'utilisateur devra toujours activer les macros pour que le code malveillant s'exécute automatiquement, mais le système de fichiers n'identifiera pas le document comme provenant du Web", ont-ils écrit dans le message.

De plus, les acteurs de la menace peuvent utiliser des fichiers de conteneur pour distribuer directement les charges utiles en ajoutant du contenu supplémentaire tel que des LNK, Les DLL, ou des fichiers exécutables (.exe) qui peuvent être utilisés pour exécuter une charge utile malveillante, ont déclaré les chercheurs.

Proofpoint a également constaté une légère augmentation de l'utilisation abusive des fichiers XLL - un type de fichier de bibliothèque de liens dynamiques (DLL) pour Excel - dans les campagnes malveillantes également, mais pas aussi significativement que l'utilisation des fichiers ISO, RAR et LNK. , ont-ils noté.