פושעי סייבר פונים לקבצי קונטיינר וטקטיקות אחרות כדי לעקוף את הניסיון של החברה לסכל דרך פופולרית לספק מטענים זדוניים של דיוג.
שחקני איומים מוצאים את דרכם סביב חסימת ברירת המחדל של מיקרוסופט של פקודות מאקרו בחבילת ה-Office שלה, תוך שימוש בקבצים חלופיים לאירוח מטענים זדוניים כעת, כאשר ערוץ ראשי להעברת איומים מנותק, מצאו חוקרים.
השימוש בקבצים מצורפים המאפשרים פקודות מאקרו על ידי גורמי איומים ירד בכ-66 אחוזים בין אוקטובר 2021 ליוני 2022, על פי נתונים חדשים שנחשפו על ידי Proofpoint בפוסט בבלוג יוֹם חֲמִישִׁי. תחילת הירידה חלה בקנה אחד עם התוכנית של מיקרוסופט להתחיל לחסום פקודות מאקרו XL4 כברירת מחדל עבור משתמשי Excel, ואחריה חסימת פקודות מאקרו VBA כברירת מחדל ברחבי חבילת Office השנה.
שחקני איומים, המפגינים את החוסן הטיפוסי שלהם, נראים עד כה בלתי נרתעים מהמהלך, המסמן את "אחד מהשינויים הגדולים ביותר בנוף איומי הדוא"ל בהיסטוריה האחרונה", אמרו החוקרים סלינה לארסון, דניאל בלקפורד ואחרים בצוות המחקר של Proofpoint Threat Research. פוסט.
אף על פי שפושעי סייבר ממשיכים לעת עתה להשתמש בפקודות מאקרו במסמכים זדוניים המשמשים בקמפיינים דיוגים, הם גם החלו להסתובב סביב אסטרטגיית ההגנה של מיקרוסופט על ידי פנייה לסוגי קבצים אחרים ככלים עבור תוכנות זדוניות - כלומר, קבצי מיכל כגון ISO ו-RAR מצורפים וכן קבצי קיצור של Windows (LNK), הם אמרו.
ואכן, באותה מסגרת זמן של שמונה חודשים שבה ירד השימוש במסמכים התומכים בפקודות מאקרו, מספר הקמפיינים הזדוניים הממנפים קבצי מיכל כולל קבצי ISO, RAR ו-LNK גדל בכמעט 175 אחוזים, מצאו חוקרים.
"סביר להניח ששחקני איומים ימשיכו להשתמש בפורמטים של קבצי מיכל כדי לספק תוכנות זדוניות, תוך הסתמכות פחות על קבצים מצורפים המאפשרים מאקרו", הם ציינו.
מאקרו לא עוד?
פקודות מאקרו, המשמשות לאוטומציה של משימות בשימוש תכוף ב-Office, היו בין הרבות ביותר דרכים פופולריות לספק תוכנות זדוניות בקבצים מצורפים של דוא"ל זדוני לפחות החלק הטוב יותר של עשור, שכן ניתן לאפשר אותם בלחיצת עכבר פשוטה ויחידה מצד המשתמש כאשר תתבקש.
פקודות מאקרו כבר מזמן מושבתות כברירת מחדל ב-Office, למרות שמשתמשים תמיד יכלו להפעיל אותם - מה שאפשר לשחקני איום להפעיל נשק של שתי פקודות המאקרו VBA, שיכולות להפעיל באופן אוטומטי תוכן זדוני כאשר פקודות מאקרו מופעלות באפליקציות Office, כמו גם פקודות מאקרו XL4 ספציפיות ל-Excel . בדרך כלל השחקנים משתמשים הנדסה חברתית קמפיין דיוג כדי לשכנע את הקורבנות של הדחיפות לאפשר פקודות מאקרו כדי שיוכלו לפתוח את מה שהם לא יודעים שהם קבצים מצורפים זדוניים.
בעוד שהמהלך של מיקרוסופט לחסום לחלוטין פקודות מאקרו עד כה לא הרתיע גורמי איומים מלהשתמש בהם לחלוטין, הוא דרבן את המעבר הבולט הזה לטקטיקות אחרות, אמרו חוקרי Proofpoint.
המפתח לשינוי הזה הן טקטיקות לעקוף את השיטה של מיקרוסופט לחסום פקודות מאקרו VBA המבוססות על תכונה Mark of the Web (MOTW) שמראה אם קובץ מגיע מהאינטרנט המכונה Zone.Identifier, ציינו החוקרים.
"יישומי מיקרוסופט מוסיפים את זה למסמכים מסוימים כשהם מורידים מהאינטרנט", הם כתבו. "עם זאת, ניתן לעקוף את MOTW על ידי שימוש בפורמטים של קבצי מיכל."
ואכן, חברת אבטחת ה-IT Outflank בנוחות מְפוֹרָט מספר אפשרויות להאקרים אתיים המתמחים בסימולציית תקיפה - המכונה "צוותים אדומים" - לעקוף מנגנוני MOTW, על פי Proofpoint. נראה שהפוסט לא נעלם מעיניהם של גורמי איומים, מכיוון שהם גם החלו ליישם את הטקטיקות הללו, אמרו החוקרים.
Switcheroo בפורמט קבצים
כדי לעקוף חסימת מאקרו, התוקפים משתמשים יותר ויותר בפורמטים של קבצים כגון ISO (.iso), RAR (.rar), ZIP (.zip) ו-IMG (.img) כדי לשלוח מסמכים התומכים במאקרו, אמרו חוקרים. הסיבה לכך היא שלמרות שלקבצים עצמם תהיה תכונת MOTW, המסמך שבתוכו, כגון גיליון אלקטרוני המאפשר מאקרו, לא יהיה, ציינו החוקרים.
"כאשר המסמך מחולץ, המשתמש עדיין יצטרך להפעיל פקודות מאקרו כדי שהקוד הזדוני יבוצע אוטומטית, אך מערכת הקבצים לא תזהה את המסמך כמגיע מהאינטרנט", כתבו בפוסט.
בנוסף, שחקני איומים יכולים להשתמש בקבצי מיכל כדי להפיץ מטענים ישירות על ידי הוספת תוכן נוסף כגון LNKs, קובצי DLL, או קבצי הפעלה (.exe) שניתן להשתמש בהם כדי לבצע מטען זדוני, אמרו החוקרים.
Proofpoint גם ראתה עלייה קלה בשימוש לרעה בקבצי XLL - סוג של קובץ ספריית קישורים דינמית (DLL) עבור Excel - גם בקמפיינים זדוניים, אם כי לא עליה משמעותית כמו השימוש בקובצי ISO, RAR ו-LNK , הם ציינו.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://threatpost.com/threat-pivot-microsofts-macro/180319/
- :יש ל
- :הוא
- :לֹא
- $ למעלה
- 2021
- 2022
- 50
- 66
- 700
- a
- אודות
- התעללות
- פי
- לרוחב
- שחקנים
- להוסיף
- מוסיף
- נוסף
- מותר
- גם
- חלופה
- למרות
- תמיד
- בין
- an
- ו
- לְהוֹפִיעַ
- יישומים
- אפליקציות
- ARE
- סביב
- AS
- At
- לתקוף
- ניסיון
- באופן אוטומטי
- אוטומציה
- מבוסס
- BE
- כי
- היה
- ההתחלה
- התחיל
- להיות
- מוטב
- בֵּין
- לחסום
- חסימה
- בלוג
- שניהם
- אבל
- by
- קמפיינים
- CAN
- ערוץ
- קוד
- מקביל
- מגיע
- מגיע
- חברה
- של החברה
- מכולה
- תוכן
- להמשיך
- לְשַׁכְנֵעַ
- יכול
- חותך
- עברייני אינטרנט
- Daniel
- נתונים
- להקטין
- ירד
- בְּרִירַת מֶחדָל
- גופי בטחון
- למסור
- מסירה
- הפגנה
- לפרוס
- ישירות
- נכה
- לְהָפִיץ
- מסמך
- מסמכים
- עושה
- לא
- דינמי
- אמייל
- לאפשר
- מופעל
- לַחֲלוּטִין
- אֶתִי
- Excel
- לבצע
- רחוק
- שלח
- קבצים
- מציאת
- בעקבות
- בעד
- מצא
- מסגרת
- בתדירות גבוהה
- החל מ-
- לקבל
- נעלם
- האקרים
- יש
- היסטוריה
- המארח
- HTTPS
- מזהה
- לזהות
- in
- כולל
- להגדיל
- גדל
- יותר ויותר
- INFOSEC
- בתוך
- אינטרנט
- ISO
- IT
- זה ביטחון
- שֶׁלָה
- יוני
- לדעת
- ידוע
- נוף
- הגדול ביותר
- הכי פחות
- פחות
- מינוף
- סִפְרִיָה
- סביר
- קשר
- ארוך
- פקודות מאקרו
- תוכנות זדוניות
- סימן
- max-width
- מנגנוני
- שיטה
- יותר
- רוב
- המהלך
- מספר
- כמעט
- חדש
- ניוזלטר
- לא
- יַקִיר
- ציין
- עַכשָׁיו
- מספר
- אוֹקְטוֹבֶּר
- of
- כבוי
- Office
- on
- לפתוח
- אפשרויות
- or
- אחר
- אחרים
- סקירה
- חלק
- אָחוּז
- דיוג
- Pivot
- תכנית
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- פופולרי
- הודעה
- יְסוֹדִי
- לאחרונה
- הסתמכות
- מחקר
- חוקרים
- כושר התאוששות
- גילה
- הפעלה
- אמר
- אותו
- אבטחה
- נראה
- לראות
- לשלוח
- משמרת
- משמרות
- הופעות
- משמעותי
- פָּשׁוּט
- יחיד
- So
- עד כה
- כמה
- מתמחה
- גיליון אלקטרוני
- התחלה
- עוד
- אִסטרָטֶגִיָה
- כזה
- מערכת
- מערכת
- טקטיקה
- משימות
- נבחרת
- זֶה
- השמיים
- שֶׁלָהֶם
- אותם
- עצמם
- אלה
- הֵם
- זֶה
- השנה
- אם כי?
- איום
- איום שחקנים
- יום חמישי
- זמן
- ל
- תור
- פנייה
- סוג
- סוגים
- טיפוסי
- בדרך כלל
- דְחִיפוּת
- להשתמש
- מְשׁוּמָשׁ
- משתמש
- משתמשים
- באמצעות
- VBA
- כלי
- קורבנות
- דֶרֶך..
- אינטרנט
- טוֹב
- מה
- מתי
- אם
- אשר
- בזמן
- יצטרך
- חלונות
- עם
- כתב
- שנה
- זפירנט
- רוכסן