שחקני איומים מסתובבים סביב חסימת המאקרו של מיקרוסופט במשרד

הועלה מחדש על ידי אפלטון

עוקב: 0

פושעי סייבר פונים לקבצי קונטיינר וטקטיקות אחרות כדי לעקוף את הניסיון של החברה לסכל דרך פופולרית לספק מטענים זדוניים של דיוג.

שחקני איומים מוצאים את דרכם סביב חסימת ברירת המחדל של מיקרוסופט של פקודות מאקרו בחבילת ה-Office שלה, תוך שימוש בקבצים חלופיים לאירוח מטענים זדוניים כעת, כאשר ערוץ ראשי להעברת איומים מנותק, מצאו חוקרים.

השימוש בקבצים מצורפים המאפשרים פקודות מאקרו על ידי גורמי איומים ירד בכ-66 אחוזים בין אוקטובר 2021 ליוני 2022, על פי נתונים חדשים שנחשפו על ידי Proofpoint בפוסט בבלוג יוֹם חֲמִישִׁי. תחילת הירידה חלה בקנה אחד עם התוכנית של מיקרוסופט להתחיל לחסום פקודות מאקרו XL4 כברירת מחדל עבור משתמשי Excel, ואחריה חסימת פקודות מאקרו VBA כברירת מחדל ברחבי חבילת Office השנה.

שחקני איומים, המפגינים את החוסן הטיפוסי שלהם, נראים עד כה בלתי נרתעים מהמהלך, המסמן את "אחד מהשינויים הגדולים ביותר בנוף איומי הדוא"ל בהיסטוריה האחרונה", אמרו החוקרים סלינה לארסון, דניאל בלקפורד ואחרים בצוות המחקר של Proofpoint Threat Research. פוסט. ניוזלטר אינסידרס של Infosec

אף על פי שפושעי סייבר ממשיכים לעת עתה להשתמש בפקודות מאקרו במסמכים זדוניים המשמשים בקמפיינים דיוגים, הם גם החלו להסתובב סביב אסטרטגיית ההגנה של מיקרוסופט על ידי פנייה לסוגי קבצים אחרים ככלים עבור תוכנות זדוניות - כלומר, קבצי מיכל כגון ISO ו-RAR מצורפים וכן קבצי קיצור של Windows (LNK), הם אמרו.

ואכן, באותה מסגרת זמן של שמונה חודשים שבה ירד השימוש במסמכים התומכים בפקודות מאקרו, מספר הקמפיינים הזדוניים הממנפים קבצי מיכל כולל קבצי ISO, RAR ו-LNK גדל בכמעט 175 אחוזים, מצאו חוקרים.

"סביר להניח ששחקני איומים ימשיכו להשתמש בפורמטים של קבצי מיכל כדי לספק תוכנות זדוניות, תוך הסתמכות פחות על קבצים מצורפים המאפשרים מאקרו", הם ציינו.

מאקרו לא עוד?

פקודות מאקרו, המשמשות לאוטומציה של משימות בשימוש תכוף ב-Office, היו בין הרבות ביותר דרכים פופולריות לספק תוכנות זדוניות בקבצים מצורפים של דוא"ל זדוני לפחות החלק הטוב יותר של עשור, שכן ניתן לאפשר אותם בלחיצת עכבר פשוטה ויחידה מצד המשתמש כאשר תתבקש.

פקודות מאקרו כבר מזמן מושבתות כברירת מחדל ב-Office, למרות שמשתמשים תמיד יכלו להפעיל אותם - מה שאפשר לשחקני איום להפעיל נשק של שתי פקודות המאקרו VBA, שיכולות להפעיל באופן אוטומטי תוכן זדוני כאשר פקודות מאקרו מופעלות באפליקציות Office, כמו גם פקודות מאקרו XL4 ספציפיות ל-Excel . בדרך כלל השחקנים משתמשים הנדסה חברתית קמפיין דיוג כדי לשכנע את הקורבנות של הדחיפות לאפשר פקודות מאקרו כדי שיוכלו לפתוח את מה שהם לא יודעים שהם קבצים מצורפים זדוניים.

בעוד שהמהלך של מיקרוסופט לחסום לחלוטין פקודות מאקרו עד כה לא הרתיע גורמי איומים מלהשתמש בהם לחלוטין, הוא דרבן את המעבר הבולט הזה לטקטיקות אחרות, אמרו חוקרי Proofpoint.

המפתח לשינוי הזה הן טקטיקות לעקוף את השיטה של מיקרוסופט לחסום פקודות מאקרו VBA המבוססות על תכונה Mark of the Web (MOTW) שמראה אם קובץ מגיע מהאינטרנט המכונה Zone.Identifier, ציינו החוקרים.

"יישומי מיקרוסופט מוסיפים את זה למסמכים מסוימים כשהם מורידים מהאינטרנט", הם כתבו. "עם זאת, ניתן לעקוף את MOTW על ידי שימוש בפורמטים של קבצי מיכל."

ואכן, חברת אבטחת ה-IT Outflank בנוחות מְפוֹרָט מספר אפשרויות להאקרים אתיים המתמחים בסימולציית תקיפה - המכונה "צוותים אדומים" - לעקוף מנגנוני MOTW, על פי Proofpoint. נראה שהפוסט לא נעלם מעיניהם של גורמי איומים, מכיוון שהם גם החלו ליישם את הטקטיקות הללו, אמרו החוקרים.

Switcheroo בפורמט קבצים

כדי לעקוף חסימת מאקרו, התוקפים משתמשים יותר ויותר בפורמטים של קבצים כגון ISO (.iso), RAR (.rar), ZIP (.zip) ו-IMG (.img) כדי לשלוח מסמכים התומכים במאקרו, אמרו חוקרים. הסיבה לכך היא שלמרות שלקבצים עצמם תהיה תכונת MOTW, המסמך שבתוכו, כגון גיליון אלקטרוני המאפשר מאקרו, לא יהיה, ציינו החוקרים.

"כאשר המסמך מחולץ, המשתמש עדיין יצטרך להפעיל פקודות מאקרו כדי שהקוד הזדוני יבוצע אוטומטית, אך מערכת הקבצים לא תזהה את המסמך כמגיע מהאינטרנט", כתבו בפוסט.

בנוסף, שחקני איומים יכולים להשתמש בקבצי מיכל כדי להפיץ מטענים ישירות על ידי הוספת תוכן נוסף כגון LNKs, קובצי DLL, או קבצי הפעלה (.exe) שניתן להשתמש בהם כדי לבצע מטען זדוני, אמרו החוקרים.

Proofpoint גם ראתה עלייה קלה בשימוש לרעה בקבצי XLL - סוג של קובץ ספריית קישורים דינמית (DLL) עבור Excel - גם בקמפיינים זדוניים, אם כי לא עליה משמעותית כמו השימוש בקובצי ISO, RAR ו-LNK , הם ציינו.