Nettkriminelle bruker containerfiler og andre taktikker for å omgå selskapets forsøk på å hindre en populær måte å levere ondsinnede phishing-nyttelaster på.
Trusselaktører finner veien rundt Microsofts standard blokkering av makroer i Office-pakken, ved å bruke alternative filer for å være vert for ondsinnede nyttelaster nå som en primær kanal for trussellevering blir avskåret, har forskere funnet.
Bruken av makroaktiverte vedlegg av trusselaktører gikk ned med omtrent 66 prosent mellom oktober 2021 og juni 2022, ifølge nye data fra Proofpoint avslørt i et blogginnlegg Torsdag. Begynnelsen av nedgangen falt sammen med Microsofts plan om å begynne å blokkere XL4-makroer som standard for Excel-brukere, fulgt opp med blokkering av VBA-makroer som standard på tvers av Office-pakken i år.
Trusselaktører, som demonstrerer sin typiske motstandskraft, ser så langt ut til å være uforstyrret over flyttingen, som markerer «en av de største endringene i e-trussellandskapet i nyere historie», sa forskerne Selena Larson, Daniel Blackford og andre i Proofpoint Threat Research Team. En stolpe.
Selv om nettkriminelle foreløpig fortsetter å bruke makroer i ondsinnede dokumenter som brukes i phishing-kampanjer, har de også begynt å dreie rundt Microsofts forsvarsstrategi ved å vende seg til andre filtyper som fartøy for skadelig programvare – nemlig containerfiler som ISO- og RAR-vedlegg samt Windows Shortcut (LNK) filer, sa de.
Faktisk, i den samme åtte måneders tidsrammen der bruken av makroaktiverte dokumenter gikk ned, økte antallet ondsinnede kampanjer som utnyttet containerfiler inkludert ISO-, RAR- og LNK-vedlegg med nesten 175 prosent, fant forskere.
"Det er sannsynlig at trusselaktører vil fortsette å bruke containerfilformater for å levere skadelig programvare, mens de stoler mindre på makroaktiverte vedlegg," bemerket de.
Makroer ikke mer?
Makroer, som brukes til å automatisere ofte brukte oppgaver i Office, har vært blant de fleste populære måter å levere skadevare i ondsinnede e-postvedlegg i minst den beste delen av et tiår, da de kan tillates med et enkelt, enkelt museklikk fra brukerens side når du blir bedt om det.
Makroer har lenge vært deaktivert som standard i Office, selv om brukere alltid kunne aktivere dem – noe som har tillatt trusselaktører å bevæpne begge VBA-makroene, som automatisk kan kjøre skadelig innhold når makroer er aktivert i Office-apper, samt Excel-spesifikke XL4-makroer . Vanligvis bruker skuespillerne sosialt konstruert phishing-kampanjer for å overbevise ofre om at det haster med å aktivere makroer slik at de kan åpne det de ikke vet er ondsinnede filvedlegg.
Mens Microsofts trekk for å blokkere makroer helt så langt ikke har avskrekket trusselaktører fra å bruke dem helt, har det ansporet dette bemerkelsesverdige skiftet til andre taktikker, sa Proofpoint-forskere.
Nøkkelen til dette skiftet er taktikk for å omgå Microsofts metode for å blokkere VBA-makroer basert på et Mark of the Web (MOTW)-attributt som viser om en fil kommer fra internett kjent som Zone.Identifier, bemerket forskere.
"Microsoft-applikasjoner legger dette til noen dokumenter når de lastes ned fra nettet," skrev de. "Men MOTW kan omgås ved å bruke containerfilformater."
Faktisk, IT-sikkerhetsselskapet Outflank praktisk detaljert flere alternativer for etiske hackere som spesialiserer seg på angrepssimulering – kjent som «red teamers» – for å omgå MOTW-mekanismer, ifølge Proofpoint. Innlegget ser ikke ut til å ha gått ubemerket hen av trusselaktører, ettersom de også har begynt å implementere disse taktikkene, sa forskere.
Filformat Switcheroo
For å omgå blokkering av makroer bruker angripere i økende grad filformater som ISO (.iso), RAR (.rar), ZIP (.zip) og IMG (.img)-filer for å sende makroaktiverte dokumenter, sa forskere. Dette er fordi at selv om filene i seg selv vil ha MOTW-attributtet, vil ikke dokumentet inne, for eksempel et makroaktivert regneark, gjøre det, bemerket forskere.
"Når dokumentet er trukket ut, vil brukeren fortsatt måtte aktivere makroer for at den skadelige koden skal kjøres automatisk, men filsystemet vil ikke identifisere dokumentet som kommer fra nettet," skrev de i innlegget.
I tillegg kan trusselaktører bruke containerfiler til å distribuere nyttelast direkte ved å legge til ekstra innhold som LNK-er, DLL-filer, eller kjørbare (.exe) filer som kan brukes til å utføre en ondsinnet nyttelast, sa forskere.
Proofpoint har også sett en liten økning i misbruk av XLL-filer – en type dynamisk lenkebibliotek (DLL)-fil for Excel – også i ondsinnede kampanjer, selv om det ikke er like stor økning som bruken av ISO-, RAR- og LNK-filer , bemerket de.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- kilde: https://threatpost.com/threat-pivot-microsofts-macro/180319/
- : har
- :er
- :ikke
- $OPP
- 2021
- 2022
- 50
- 66
- 700
- a
- Om oss
- misbruk
- Ifølge
- tvers
- aktører
- legge til
- legge
- Ytterligere
- tillatt
- også
- alternativ
- Selv
- alltid
- blant
- an
- og
- vises
- søknader
- apps
- ER
- rundt
- AS
- At
- angripe
- forsøk
- automatisk
- Automatisere
- basert
- BE
- fordi
- vært
- Begynnelsen
- begynt
- være
- Bedre
- mellom
- Blokker
- blokkering
- Blogg
- både
- men
- by
- Kampanjer
- CAN
- Kanal
- kode
- falt sammen
- kommer
- kommer
- Selskapet
- Selskapets
- Container
- innhold
- fortsette
- overbevise
- kunne
- Kutt
- nettkriminelle
- Daniel
- dato
- redusere
- redusert
- Misligholde
- Forsvar
- leverer
- levering
- demonstrere
- utplassere
- direkte
- deaktivert
- distribuere
- dokument
- dokumenter
- gjør
- ikke
- dynamisk
- emalje
- muliggjøre
- aktivert
- fullstendig
- etisk
- Excel
- henrette
- langt
- filet
- Filer
- finne
- fulgt
- Til
- funnet
- RAMME
- ofte
- fra
- få
- borte
- hackere
- Ha
- historie
- vert
- HTTPS
- identifikator
- identifisere
- in
- Inkludert
- Øke
- økt
- stadig
- INFOSEC
- innsiden
- Internet
- ISO
- IT
- det sikkerhet
- DET ER
- juni
- Vet
- kjent
- landskap
- største
- minst
- mindre
- utnytte
- Bibliotek
- Sannsynlig
- LINK
- Lang
- makroer
- malware
- merke
- max bredde
- mekanismer
- metode
- mer
- mest
- flytte
- flere
- nesten
- Ny
- Nyhetsbrev
- Nei.
- bemerkelsesverdig
- bemerket
- nå
- Antall
- oktober
- of
- off
- Office
- on
- åpen
- alternativer
- or
- Annen
- andre
- oversikt
- del
- prosent
- phishing
- Pivot
- fly
- plato
- Platon Data Intelligence
- PlatonData
- Populær
- Post
- primære
- nylig
- avhengig
- forskning
- forskere
- resiliens
- Avslørt
- Kjør
- Sa
- samme
- sikkerhet
- synes
- sett
- send
- skift
- Skift
- Viser
- signifikant
- Enkelt
- enkelt
- So
- så langt
- noen
- spesialisert
- regneark
- Begynn
- Still
- Strategi
- slik
- suite
- system
- taktikk
- oppgaver
- lag
- Det
- De
- deres
- Dem
- seg
- Disse
- de
- denne
- dette året
- selv om?
- trussel
- trusselaktører
- Torsdag
- tid
- til
- SVING
- Turning
- typen
- typer
- typisk
- typisk
- hastverk
- bruke
- brukt
- Bruker
- Brukere
- ved hjelp av
- VBA
- fartøy
- ofre
- Vei..
- web
- VI VIL
- Hva
- når
- om
- hvilken
- mens
- vil
- vinduer
- med
- skrev
- år
- zephyrnet
- Zip
