Cybercriminelen gebruiken containerbestanden en andere tactieken om de poging van het bedrijf te omzeilen om een populaire manier om kwaadaardige phishing-payloads te leveren, te dwarsbomen.
Bedreigingsactoren vinden hun weg in Microsoft's standaardblokkering van macro's in zijn Office-suite, waarbij ze alternatieve bestanden gebruiken om kwaadaardige payloads te hosten nu een primair kanaal voor het afleveren van bedreigingen wordt afgesneden, hebben onderzoekers ontdekt.
Volgens nieuwe gegevens van Proofpoint is het gebruik van bijlagen met macro's door dreigingsactoren tussen oktober 66 en juni 2021 met ongeveer 2022 procent afgenomen in een blog post Donderdag. Het begin van de daling viel samen met het plan van Microsoft om XL4-macro's standaard te blokkeren voor Excel-gebruikers, gevolgd door het standaard blokkeren van VBA-macro's in de Office-suite dit jaar.
Bedreigingsactoren, die blijk geven van hun typische veerkracht, lijken tot nu toe onverschrokken door de stap, die "een van de grootste verschuivingen in het landschap van e-mailbedreigingen in de recente geschiedenis markeert", zeiden onderzoekers Selena Larson, Daniel Blackford en anderen van het Proofpoint Threat Research Team, in de een post.
Hoewel cybercriminelen voorlopig macro's blijven gebruiken in kwaadaardige documenten die worden gebruikt in phishing-campagnes, zijn ze ook begonnen met het draaien rond de verdedigingsstrategie van Microsoft door zich te wenden tot andere bestandstypen als vaartuigen voor malware, namelijk containerbestanden zoals ISO- en RAR-bijlagen evenals Windows Shortcut-bestanden (LNK), zeiden ze.
In dezelfde periode van acht maanden waarin het gebruik van documenten met macro's afnam, nam het aantal kwaadwillende campagnes die gebruikmaken van containerbestanden, waaronder ISO-, RAR- en LNK-bijlagen, met bijna 175 procent toe, ontdekten onderzoekers.
"Het is waarschijnlijk dat dreigingsactoren containerbestandsindelingen zullen blijven gebruiken om malware te leveren, terwijl ze minder afhankelijk zijn van macro-enabled bijlagen", merkten ze op.
Macro's niet meer?
Macro's, die worden gebruikt voor het automatiseren van veelgebruikte taken in Office, behoorden tot de meest populaire manieren om malware in kwaadaardige e-mailbijlagen te leveren voor ten minste het betere deel van een decennium, omdat ze kunnen worden toegestaan met een simpele muisklik van de kant van de gebruiker wanneer daarom wordt gevraagd.
Macro's zijn al lang standaard uitgeschakeld in Office, hoewel gebruikers ze altijd konden inschakelen, waardoor bedreigingsactoren zowel VBA-macro's konden gebruiken, die automatisch schadelijke inhoud kunnen uitvoeren wanneer macro's zijn ingeschakeld in Office-apps, evenals Excel-specifieke XL4-macro's . Meestal gebruiken de acteurs sociaal ontwikkeld phishingcampagnes om slachtoffers te overtuigen van de urgentie om macro's in te schakelen, zodat ze kunnen openen waarvan ze niet weten dat het schadelijke bestandsbijlagen zijn.
Hoewel de stap van Microsoft om macro's tot nu toe volledig te blokkeren, bedreigingsactoren er niet van heeft weerhouden ze volledig te gebruiken, heeft het deze opmerkelijke verschuiving naar andere tactieken gestimuleerd, aldus Proofpoint-onderzoekers.
De sleutel tot deze verschuiving zijn tactieken om de methode van Microsoft te omzeilen om VBA-macro's te blokkeren op basis van een Mark of the Web (MOTW) -attribuut dat laat zien of een bestand van internet komt dat bekend staat als de Zone.Identifier, merkten onderzoekers op.
"Microsoft-applicaties voegen dit toe aan sommige documenten wanneer ze van internet worden gedownload", schreven ze. "MOTW kan echter worden omzeild door containerbestandsindelingen te gebruiken."
Inderdaad, IT-beveiligingsbedrijf Outflank handig gedetailleerd meerdere opties voor ethische hackers die gespecialiseerd zijn in aanvalssimulatie - bekend als "red teamers" - om MOTW-mechanismen te omzeilen, volgens Proofpoint. De post lijkt niet onopgemerkt te zijn gebleven door bedreigingsactoren, omdat ze deze tactieken ook zijn gaan toepassen, aldus onderzoekers.
Bestandsformaat Switcheroo
Om het blokkeren van macro's te omzeilen, gebruiken aanvallers steeds vaker bestandsformaten zoals ISO (.iso), RAR (.rar), ZIP (.zip) en IMG (.img) bestanden om macro-enabled documenten te verzenden, aldus onderzoekers. Dit komt omdat hoewel de bestanden zelf het MOTW-attribuut hebben, het document erin, zoals een macro-enabled spreadsheet, dat niet zal doen, merkten onderzoekers op.
"Wanneer het document wordt uitgepakt, moet de gebruiker nog steeds macro's inschakelen om de kwaadaardige code automatisch uit te voeren, maar het bestandssysteem zal het document niet identificeren als afkomstig van het web", schreven ze in de post.
Bovendien kunnen bedreigingsactoren containerbestanden gebruiken om payloads rechtstreeks te distribueren door extra inhoud toe te voegen, zoals LNK's, DLL's, of uitvoerbare (.exe) bestanden die kunnen worden gebruikt om een kwaadaardige payload uit te voeren, aldus onderzoekers.
Proofpoint heeft ook een lichte stijging gezien in het misbruik van XLL-bestanden - een soort DLL-bestand (Dynamic Link Library) voor Excel - ook in kwaadaardige campagnes, hoewel niet zo'n significante toename als het gebruik van ISO-, RAR- en LNK-bestanden , merkten ze op.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://threatpost.com/threat-pivot-microsofts-macro/180319/
- : heeft
- :is
- :niet
- $UP
- 2021
- 2022
- 50
- 66
- 700
- a
- Over
- misbruik
- Volgens
- over
- actoren
- toevoegen
- toe te voegen
- Extra
- toegestaan
- ook
- alternatief
- Hoewel
- altijd
- onder
- an
- en
- verschijnen
- toepassingen
- apps
- ZIJN
- rond
- AS
- At
- aanvallen
- poging
- webmaster.
- automatiseren
- gebaseerde
- BE
- omdat
- geweest
- Begin
- begonnen
- wezen
- Betere
- tussen
- Blok
- blokkeren
- Blog
- zowel
- maar
- by
- Campagnes
- CAN
- Kanaal
- code
- viel samen
- komt
- komst
- afstand
- Bedrijf
- Containers
- content
- voortzetten
- overtuigt
- kon
- Snijden
- cybercriminelen
- Daniel
- gegevens
- verlagen
- verminderde
- Standaard
- Verdediging
- leveren
- levering
- demonstrating
- implementeren
- direct
- invalide
- verdelen
- document
- documenten
- doet
- Dont
- dynamisch
- in staat stellen
- ingeschakeld
- geheel
- ethisch
- Excel
- uitvoeren
- ver
- Dien in
- Bestanden
- het vinden van
- gevolgd
- Voor
- gevonden
- FRAME
- vaak
- oppompen van
- krijgen
- weg
- Hackers
- Hebben
- geschiedenis
- gastheer
- HTTPS
- identificatie
- identificeren
- in
- Inclusief
- Laat uw omzet
- meer
- in toenemende mate
- infosec
- binnen
- Internet
- ISO
- IT
- IT beveiliging
- HAAR
- juni
- blijven
- bekend
- Landschap
- grootste
- minst
- minder
- leveraging
- Bibliotheek
- Waarschijnlijk
- LINK
- lang
- macro's
- malware
- Mark
- max-width
- mechanismen
- methode
- meer
- meest
- beweging
- meervoudig
- bijna
- New
- Nieuwsbrief
- geen
- opvallend
- bekend
- nu
- aantal
- oktober
- of
- korting
- Kantoor
- on
- open
- Opties
- or
- Overige
- Overig
- overzicht
- deel
- procent
- Phishing
- Spil
- plan
- Plato
- Plato gegevensintelligentie
- PlatoData
- Populair
- Post
- primair
- recent
- te vertrouwen
- onderzoek
- onderzoekers
- veerkracht
- Revealed
- lopen
- Zei
- dezelfde
- veiligheid
- lijken
- gezien
- sturen
- verschuiving
- Ploegen
- Shows
- aanzienlijke
- Eenvoudig
- single
- So
- dusver
- sommige
- gespecialiseerd
- spreadsheet
- begin
- Still
- Strategie
- dergelijk
- suite
- system
- tactiek
- taken
- team
- dat
- De
- hun
- Ze
- zich
- Deze
- ze
- dit
- dit jaar
- toch?
- bedreiging
- bedreigingsactoren
- donderdag
- niet de tijd of
- naar
- BEURT
- Draai
- type dan:
- types
- typisch
- typisch
- urgentie
- .
- gebruikt
- Gebruiker
- gebruikers
- gebruik
- VBA
- schepen
- slachtoffers
- Manier..
- web
- GOED
- Wat
- wanneer
- of
- welke
- en
- wil
- ruiten
- Met
- schreef
- jaar
- zephyrnet
- Postcode
