A kiberbűnözők konténerfájlokhoz és más taktikához folyamodnak, hogy megkerüljék a vállalat azon kísérletét, hogy meghiúsítsák a rosszindulatú adathalász rakományok eljuttatásának népszerű módját.
Kutatók megállapították, hogy a fenyegető szereplők megtalálják a módját a Microsoft alapértelmezett makrók blokkolásának az Office programcsomagjában, és alternatív fájlokat használnak a rosszindulatú rakományok tárolására most, amikor a fenyegetésszállítás elsődleges csatornája megszűnik.
A Proofpoint új adatai szerint 66 októbere és 2021 júniusa között mintegy 2022 százalékkal csökkent a makrókat támogató csatolmányok használata a fenyegetés szereplői által. Egy blogbejegyzésben Csütörtök. A csökkenés kezdete egybeesett a Microsoft azon tervével, hogy az XL4 makrókat alapértelmezés szerint blokkolja az Excel-felhasználók számára, ezt követte a VBA makrók alapértelmezett blokkolása az Office programcsomagban ebben az évben.
Selena Larson, Daniel Blackford és a Proofpoint Threat Research Team kutatói a Proofpoint Threat Research Team kutatói szerint ez idáig nem tántorítanak el a lépéstől, amely „a közelmúlt történetének egyik legnagyobb e-mail-fenyegetettségi környezetében bekövetkezett változást jelenti” egy bejegyzés.
Bár a kiberbűnözők egyelőre továbbra is makrókat alkalmaznak az adathalász kampányokban használt rosszindulatú dokumentumokban, a Microsoft védelmi stratégiája körül is elkezdtek fordulni más fájltípusok felé, mint a rosszindulatú programok hordozója – nevezetesen a konténerfájlok, például ISO és RAR mellékletek, valamint Windows Shortcut (LNK) fájlok, mondták.
Valójában ugyanabban a nyolc hónapos időszakban, amikor a makrókat tartalmazó dokumentumok használata csökkent, az ISO-, RAR- és LNK-mellékleteket tartalmazó konténerfájlokat használó rosszindulatú kampányok száma közel 175 százalékkal nőtt – állapították meg a kutatók.
„Valószínűleg a fenyegetés szereplői továbbra is konténerfájl-formátumokat fognak használni rosszindulatú programok továbbítására, miközben kevésbé támaszkodnak a makróképes mellékletekre” – jegyezték meg.
Makrók Nincs több?
A makrók, amelyeket az Office-ban gyakran használt feladatok automatizálására használnak, a legtöbbek közé tartoznak népszerű módok hogy legalább a rosszindulatú e-mailek mellékleteiben rosszindulatú programokat szállítson egy évtized jobbik része, mivel ezek egy egyszerű, egyetlen egérkattintással engedélyezhetők a felhasználó részéről, amikor a rendszer kéri.
A makrók alapértelmezés szerint régóta le vannak tiltva az Office-ban, bár a felhasználók mindig engedélyezhették őket – ami lehetővé tette a fenyegetések felfegyverzését mind a VBA-makrókat, amelyek automatikusan futtathatnak rosszindulatú tartalmat, ha a makrók engedélyezve vannak az Office-alkalmazásokban, valamint az Excel-specifikus XL4-makrókat. . Általában a színészek használják szociálisan megtervezett adathalász kampányok hogy meggyőzze az áldozatokat a makrók engedélyezésének sürgősségéről, hogy megnyithassák azokat a mellékleteket, amelyekről nem tudnak rosszindulatú fájlmellékleteket.
Noha a Microsoft lépése a makrók teljes blokkolására eddig nem tántorította el a fenyegető szereplőket attól, hogy azokat teljes mértékben használják, a Proofpoint kutatói szerint ez a figyelemre méltó elmozdulás más taktikák felé sarkallt.
Ennek az eltolódásnak a kulcsa az a taktika, amellyel megkerülik a Microsoft VBA-makrókat blokkoló módszerét a Mark of the Web (MOTW) attribútum alapján, amely megmutatja, hogy a Zone.Identifier néven ismert fájl az internetről származik-e.
„A Microsoft-alkalmazások hozzáadják ezt bizonyos dokumentumokhoz, amikor letöltik őket az internetről” – írták. "A MOTW azonban megkerülhető konténerfájlformátumok használatával."
Valóban, az Outflank IT-biztonsági cég kényelmesen részletes A Proofpoint szerint számos lehetőség a támadásszimulációra szakosodott etikus hackerek számára – úgynevezett „vörös csapattagok” – a MOTW mechanizmusok megkerülésére. Úgy tűnik, hogy a posztot nem hagyták figyelmen kívül a fenyegetés szereplői, mivel ők is elkezdték alkalmazni ezt a taktikát, mondták a kutatók.
Fájlformátum Switcheroo
A makrók blokkolásának megkerülésére a támadók egyre gyakrabban használnak olyan fájlformátumokat, mint az ISO (.iso), RAR (.rar), ZIP (.zip) és IMG (.img) fájlok a makróképes dokumentumok küldésére. Ennek az az oka, hogy bár maguk a fájlok rendelkeznek a MOTW attribútummal, a benne lévő dokumentum, például egy makró-kompatibilis táblázat, nem – jegyezték meg a kutatók.
"A dokumentum kibontásakor a felhasználónak továbbra is engedélyeznie kell a makrókat a rosszindulatú kód automatikus végrehajtásához, de a fájlrendszer nem fogja azonosítani a dokumentumot a webről származóként" - írták a bejegyzésben.
Ezenkívül a fenyegetés szereplői konténerfájlokat használhatnak a hasznos terhek közvetlen elosztására további tartalom hozzáadásával, például LNK-k, DLL, vagy olyan futtatható (.exe) fájlok, amelyek rosszindulatú rakomány végrehajtására használhatók, mondták a kutatók.
A Proofpoint enyhe növekedést tapasztalt az XLL fájlokkal – egy dinamikus hivatkozási könyvtár (DLL) fájlokkal az Excelhez – a rosszindulatú kampányokban is, bár nem olyan jelentős növekedést, mint az ISO, RAR és LNK fájlok használata. , jegyezték meg.
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
- PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
- PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
- PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
- Forrás: https://threatpost.com/threat-pivot-microsofts-macro/180319/
- :van
- :is
- :nem
- $ UP
- 2021
- 2022
- 50
- 66
- 700
- a
- Rólunk
- visszaélés
- Szerint
- át
- szereplők
- hozzá
- hozzáadásával
- További
- megengedett
- Is
- alternatív
- Bár
- mindig
- között
- an
- és a
- megjelenik
- alkalmazások
- alkalmazások
- VANNAK
- körül
- AS
- At
- támadás
- kísérlet
- automatikusan
- automatizálás
- alapján
- BE
- mert
- óta
- Kezdet
- megkezdett
- hogy
- Jobb
- között
- Blokk
- blokkoló
- Blog
- mindkét
- de
- by
- Kampányok
- TUD
- csatorna
- kód
- egybeesett
- jön
- érkező
- vállalat
- Társaságé
- Konténer
- tartalom
- folytatódik
- meggyőz
- tudott
- vágás
- kiberbűnözők
- Daniel
- dátum
- csökkenés
- csökkent
- alapértelmezett
- Védelem
- szállít
- kézbesítés
- bemutatását,
- telepíteni
- közvetlenül
- Tiltva
- terjeszteni
- dokumentum
- dokumentumok
- nem
- ne
- dinamikus
- lehetővé
- engedélyezve
- teljesen
- etikai
- Excel
- kivégez
- messze
- filé
- Fájlok
- megtalálása
- követ
- A
- talált
- KERET
- gyakran
- ból ből
- kap
- elmúlt
- hackerek
- Legyen
- történelem
- vendéglátó
- HTTPS
- azonosító
- azonosítani
- in
- Beleértve
- Növelje
- <p></p>
- egyre inkább
- infosec
- belső
- Internet
- ISO
- IT
- ez biztonság
- ITS
- június
- Ismer
- ismert
- táj
- legnagyobb
- legkevésbé
- kevesebb
- erőfölény
- könyvtár
- Valószínű
- LINK
- Hosszú
- Makrók
- malware
- jel
- max-width
- mechanizmusok
- módszer
- több
- a legtöbb
- mozog
- többszörös
- közel
- Új
- Hírlevél
- nem
- figyelemre méltó
- neves
- Most
- szám
- október
- of
- kedvezmény
- Office
- on
- nyitva
- Opciók
- or
- Más
- Egyéb
- áttekintés
- rész
- százalék
- Adathalászat
- tengely
- terv
- Plató
- Platón adatintelligencia
- PlatoData
- Népszerű
- állás
- elsődleges
- új
- támaszkodva
- kutatás
- kutatók
- rugalmasság
- Revealed
- futás
- Mondott
- azonos
- biztonság
- látszik
- látott
- küld
- váltás
- Műszakok
- Műsorok
- jelentős
- Egyszerű
- egyetlen
- So
- eddig
- néhány
- szakosodott
- táblázatkezelő
- kezdet
- Még mindig
- Stratégia
- ilyen
- kíséret
- rendszer
- taktika
- feladatok
- csapat
- hogy
- A
- azok
- Őket
- maguk
- Ezek
- ők
- ezt
- idén
- bár?
- fenyegetés
- fenyegetés szereplői
- csütörtök
- idő
- nak nek
- FORDULAT
- Turning
- típus
- típusok
- tipikus
- jellemzően
- sürgősség
- használ
- használt
- használó
- Felhasználók
- segítségével
- VBA
- hajók
- áldozatok
- Út..
- háló
- JÓL
- Mit
- amikor
- vajon
- ami
- míg
- lesz
- ablakok
- val vel
- írt
- év
- zephyrnet
- Postai irányítószám