Cyberprzestępcy wykorzystują pliki kontenerów i inne taktyki, aby obejść próbę udaremnienia przez firmę popularnego sposobu dostarczania szkodliwych ładunków phishingowych.
Badacze odkryli, że cyberprzestępcy obchodzą domyślne blokowanie makr w pakiecie Office, używając alternatywnych plików do hostowania szkodliwych ładunków teraz, gdy główny kanał dostarczania zagrożeń został odcięty.
Korzystanie z załączników obsługujących makra przez cyberprzestępców spadło o około 66 procent między październikiem 2021 a czerwcem 2022, zgodnie z nowymi danymi ujawnionymi przez Proofpoint w blogu Czwartek. Początek spadku zbiegł się z planem Microsoftu, aby domyślnie blokować makra XL4 dla użytkowników Excela, a następnie domyślnie blokować makra VBA w pakiecie Office w tym roku.
Podmioty zajmujące się zagrożeniami, wykazując swoją typową odporność, jak dotąd wydają się niezrażone tym posunięciem, co oznacza „jedną z największych zmian w krajobrazie zagrożeń e-mail w najnowszej historii”, stwierdzili badacze Selena Larson, Daniel Blackford i inni z zespołu badawczego Proofpoint Threat Research. post.
Chociaż cyberprzestępcy na razie nadal wykorzystują makra w złośliwych dokumentach wykorzystywanych w kampaniach phishingowych, zaczęli również obracać się wokół strategii obronnej Microsoftu, zwracając się do innych typów plików jako nośników złośliwego oprogramowania — mianowicie plików kontenerów, takich jak załączniki ISO i RAR, a także Pliki skrótów systemu Windows (LNK), powiedzieli.
Rzeczywiście, w tym samym ośmiomiesięcznym przedziale czasowym, w którym wykorzystanie dokumentów obsługujących makra zmniejszyło się, liczba złośliwych kampanii wykorzystujących pliki kontenerów, w tym załączniki ISO, RAR i LNK, wzrosła o prawie 175 procent.
„Prawdopodobnie cyberprzestępcy będą nadal używać formatów plików kontenerów do dostarczania złośliwego oprogramowania, w mniejszym stopniu polegając na załącznikach obsługujących makra” – zauważyli.
Nie ma już makr?
Makra, które służą do automatyzacji często używanych zadań w pakiecie Office, były jednymi z najbardziej popularne sposoby dostarczać złośliwe oprogramowanie w złośliwych załącznikach do wiadomości e-mail przez co najmniej lepsza część dekady, ponieważ mogą być dozwolone za pomocą prostego, pojedynczego kliknięcia myszą na części użytkownika po wyświetleniu monitu.
Makra od dawna były domyślnie wyłączone w pakiecie Office, chociaż użytkownicy zawsze mogli je włączyć — co pozwoliło cyberprzestępcom na uzbrajanie zarówno makr VBA, które mogą automatycznie uruchamiać złośliwą zawartość, gdy makra są włączone w aplikacjach pakietu Office, jak i makr XL4 specyficznych dla programu Excel . Zazwyczaj aktorzy używają społecznie inżynierii kampanie phishingowe aby przekonać ofiary o konieczności włączenia makr, aby mogły otwierać to, o czym nie wiedzą, że są złośliwymi załącznikami.
Chociaż dotychczasowe posunięcie Microsoftu, aby całkowicie blokować makra, nie zniechęciło cyberprzestępców do całkowitego ich używania, pobudziło to zauważalne przejście do innych taktyk, twierdzą badacze Proofpoint.
Kluczem do tej zmiany są taktyki mające na celu ominięcie metody Microsoftu blokowania makr VBA na podstawie atrybutu Mark of the Web (MOTW), który pokazuje, czy plik pochodzi z Internetu, znanego jako Zone.Identifier, zauważyli naukowcy.
„Aplikacje firmy Microsoft dodają to do niektórych dokumentów, gdy są pobierane z Internetu” – napisali. „Jednak MOTW można ominąć, używając formatów plików kontenerów”.
Rzeczywiście, firma Outfank zajmująca się bezpieczeństwem IT wygodnie szczegółowe Według Proofpoint wiele opcji dla etycznych hakerów specjalizujących się w symulacji ataków – znanych jako „red teamers” – w celu ominięcia mechanizmów MOTW. Wydaje się, że post nie pozostał niezauważony przez cyberprzestępców, ponieważ oni również zaczęli stosować te taktyki, stwierdzili naukowcy.
Zmiana formatu pliku
Naukowcy twierdzą, że aby ominąć blokowanie makr, osoby atakujące coraz częściej używają formatów plików, takich jak ISO (.iso), RAR (.rar), ZIP (.zip) i IMG (.img) do wysyłania dokumentów obsługujących makra. Wynika to z faktu, że chociaż same pliki będą miały atrybut MOTW, dokument w środku, taki jak arkusz kalkulacyjny z obsługą makr, nie będzie miał, jak zauważyli naukowcy.
„Gdy dokument zostanie wyodrębniony, użytkownik nadal będzie musiał włączyć makra, aby złośliwy kod mógł się automatycznie wykonać, ale system plików nie zidentyfikuje dokumentu jako pochodzącego z sieci” – napisali w poście.
Ponadto cyberprzestępcy mogą wykorzystywać pliki kontenerów do bezpośredniego rozpowszechniania ładunków, dodając dodatkową zawartość, taką jak LNK, DLL, czyli pliki wykonywalne (.exe), które mogą zostać użyte do wykonania złośliwego ładunku, twierdzą naukowcy.
Proofpoint odnotował również niewielki wzrost nadużywania plików XLL — typu pliku biblioteki dołączanej dynamicznie (DLL) dla programu Excel — również w złośliwych kampaniach, chociaż nie tak znaczący wzrost jak użycie plików ISO, RAR i LNK , zauważyli.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
- Źródło: https://threatpost.com/threat-pivot-microsofts-macro/180319/
- :ma
- :Jest
- :nie
- $W GÓRĘ
- 2021
- 2022
- 50
- 66
- 700
- a
- O nas
- nadużycie
- Stosownie
- w poprzek
- aktorzy
- Dodaj
- dodanie
- Dodatkowy
- dozwolony
- również
- alternatywny
- Chociaż
- zawsze
- wśród
- an
- i
- zjawić się
- aplikacje
- mobilne i webowe
- SĄ
- na około
- AS
- At
- atakować
- próba
- automatycznie
- automatyzacja
- na podstawie
- BE
- bo
- być
- Początek
- zaczął
- jest
- Ulepsz Swój
- pomiędzy
- Blokować
- bloking
- Blog
- obie
- ale
- by
- Kampanie
- CAN
- Kanał
- kod
- zbiegł się
- byliśmy spójni, od początku
- przyjście
- sukcesy firma
- Firma
- Pojemnik
- zawartość
- kontynuować
- przekonać
- mógłby
- Ciąć
- cyberprzestępcy
- Daniel
- dane
- spadek
- zmniejszony
- Domyślnie
- Obrona
- dostarczyć
- dostawa
- demonstrowanie
- rozwijać
- bezpośrednio
- niepełnosprawny
- rozprowadzać
- dokument
- dokumenty
- robi
- nie
- dynamiczny
- umożliwiać
- włączony
- całkowicie
- etyczny
- przewyższać
- wykonać
- daleko
- filet
- Akta
- znalezieniu
- następnie
- W razie zamówieenia projektu
- znaleziono
- FRAME
- często
- od
- otrzymać
- poszedł
- hakerzy
- Have
- historia
- gospodarz
- HTTPS
- identyfikator
- zidentyfikować
- in
- Włącznie z
- Zwiększać
- wzrosła
- coraz bardziej
- INFOSEC
- wewnątrz
- Internet
- ISO
- IT
- to bezpieczeństwo
- JEGO
- czerwiec
- Wiedzieć
- znany
- krajobraz
- największym
- najmniej
- mniej
- lewarowanie
- Biblioteka
- Prawdopodobnie
- LINK
- długo
- makra
- malware
- znak
- Maksymalna szerokość
- Mechanizmy
- metoda
- jeszcze
- większość
- ruch
- wielokrotność
- prawie
- Nowości
- Newsletter
- Nie
- dostojnik
- zauważyć
- już dziś
- numer
- październik
- of
- poza
- Biurowe
- on
- koncepcja
- Opcje
- or
- Inne
- Pozostałe
- przegląd
- część
- procent
- phishing
- Pivot
- krok po kroku
- plato
- Analiza danych Platona
- PlatoDane
- Popularny
- Post
- pierwotny
- niedawny
- opierając się
- Badania naukowe
- Badacze
- sprężystość
- Ujawnił
- run
- Powiedział
- taki sam
- bezpieczeństwo
- wydać się
- widziany
- wysłać
- przesunięcie
- Przesunięcia
- Targi
- znaczący
- Prosty
- pojedynczy
- So
- dotychczas
- kilka
- specjalizujący się
- Arkusz kalkulacyjny
- początek
- Nadal
- Strategia
- taki
- apartament
- system
- taktyka
- zadania
- zespół
- że
- Połączenia
- ich
- Im
- sami
- Te
- one
- to
- w tym roku
- chociaż?
- groźba
- podmioty grożące
- czwartek
- czas
- do
- SKRĘCAĆ
- Obrócenie
- rodzaj
- typy
- typowy
- zazwyczaj
- pilna sprawa
- posługiwać się
- używany
- Użytkownik
- Użytkownicy
- za pomocą
- VBA
- statki
- Ofiary
- Droga..
- sieć
- DOBRZE
- Co
- jeśli chodzi o komunikację i motywację
- czy
- który
- Podczas
- będzie
- okna
- w
- napisał
- rok
- zefirnet
- Zamek błyskawiczny
