Os cibercriminosos recorrem a arquivos de contêiner e outras táticas para contornar a tentativa da empresa de impedir uma maneira popular de entregar cargas de phishing maliciosas.
Os agentes de ameaças estão descobrindo o bloqueio padrão de macros da Microsoft em seu pacote Office, usando arquivos alternativos para hospedar cargas maliciosas agora que um canal principal para entrega de ameaças está sendo cortado, descobriram pesquisadores.
O uso de anexos habilitados para macros por agentes de ameaças diminuiu cerca de 66% entre outubro de 2021 e junho de 2022, de acordo com novos dados revelados pela Proofpoint em um post de blog Quinta-feira. O início da diminuição coincidiu com o plano da Microsoft de começar a bloquear macros XL4 por padrão para usuários do Excel, seguido pelo bloqueio de macros VBA por padrão em todo o pacote Office este ano.
Atores de ameaças, demonstrando sua resiliência típica, até agora parecem destemidos pela mudança, que marca “uma das maiores mudanças no cenário de ameaças de e-mail na história recente”, disseram os pesquisadores Selena Larson, Daniel Blackford e outros da Proofpoint Threat Research Team, no artigo. uma postagem.
Embora os cibercriminosos por enquanto continuem a empregar macros em documentos maliciosos usados em campanhas de phishing, eles também começaram a girar em torno da estratégia de defesa da Microsoft, recorrendo a outros tipos de arquivos como recipientes para malware, ou seja, arquivos de contêiner, como anexos ISO e RAR, bem como Arquivos de atalho do Windows (LNK), eles disseram.
De fato, no mesmo período de oito meses em que o uso de documentos habilitados para macros diminuiu, o número de campanhas maliciosas aproveitando arquivos de contêiner, incluindo anexos ISO, RAR e LNK, aumentou quase 175%, descobriram os pesquisadores.
“É provável que os agentes de ameaças continuem a usar formatos de arquivo de contêiner para entregar malware, enquanto confiam menos em anexos habilitados para macro”, observaram.
Macros não mais?
As macros, que são usadas para automatizar tarefas usadas com frequência no Office, estão entre as mais maneiras populares entregar malware em anexos de e-mail maliciosos por pelo menos a melhor parte de uma década, pois eles podem ser permitidos com um simples clique do mouse por parte do usuário quando solicitado.
As macros foram desabilitadas por padrão no Office, embora os usuários sempre pudessem habilitá-las - o que permitiu que os agentes de ameaças armassem as duas macros VBA, que podem executar automaticamente conteúdo malicioso quando as macros são habilitadas nos aplicativos do Office, bem como macros XL4 específicas do Excel . Normalmente os atores usam socialmente projetado campanhas de phishing para convencer as vítimas da urgência de habilitar macros para que possam abrir o que não sabem que são anexos de arquivos maliciosos.
Embora a decisão da Microsoft de bloquear totalmente as macros até agora não tenha impedido os agentes de ameaças de usá-las inteiramente, estimulou essa mudança notável para outras táticas, disseram os pesquisadores da Proofpoint.
A chave para essa mudança são as táticas para contornar o método da Microsoft de bloquear macros VBA com base em um atributo Mark of the Web (MOTW) que mostra se um arquivo vem da Internet conhecido como Zone.Identifier, observaram os pesquisadores.
“Aplicativos da Microsoft adicionam isso a alguns documentos quando são baixados da web”, escreveram eles. “No entanto, o MOTW pode ser ignorado usando formatos de arquivo de contêiner.”
De fato, a empresa de segurança de TI Outflank convenientemente detalhado várias opções para hackers éticos especializados em simulação de ataque – conhecidos como “red teamers” – para contornar os mecanismos MOTW, de acordo com a Proofpoint. A postagem não parece ter passado despercebida pelos agentes de ameaças, pois eles também começaram a implantar essas táticas, disseram os pesquisadores.
Switcher de formato de arquivo
Para contornar o bloqueio de macros, os invasores estão usando cada vez mais formatos de arquivo como ISO (.iso), RAR (.rar), ZIP (.zip) e arquivos IMG (.img) para enviar documentos habilitados para macro, disseram os pesquisadores. Isso ocorre porque, embora os próprios arquivos tenham o atributo MOTW, o documento dentro, como uma planilha habilitada para macro, não terá, observaram os pesquisadores.
“Quando o documento for extraído, o usuário ainda terá que habilitar macros para que o código malicioso seja executado automaticamente, mas o sistema de arquivos não identificará o documento como vindo da web”, escreveram no post.
Além disso, os agentes de ameaças podem usar arquivos de contêiner para distribuir cargas diretamente adicionando conteúdo adicional, como LNKs, DLLs, ou arquivos executáveis (.exe) que podem ser usados para executar uma carga maliciosa, disseram os pesquisadores.
A Proofpoint também viu um pequeno aumento no abuso de arquivos XLL - um tipo de arquivo de biblioteca de vínculo dinâmico (DLL) para Excel - em campanhas maliciosas também, embora não seja um aumento tão significativo quanto o uso de arquivos ISO, RAR e LNK , eles notaram.
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
- PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
- PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
- PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
- Fonte: https://threatpost.com/threat-pivot-microsofts-macro/180319/
- :tem
- :é
- :não
- $UP
- 2021
- 2022
- 50
- 66
- 700
- a
- Sobre
- abuso
- Segundo
- em
- atores
- adicionar
- acrescentando
- Adicional
- permitidas
- tb
- alternativa
- Apesar
- sempre
- entre
- an
- e
- aparecer
- aplicações
- Aplicativos
- SOMOS
- por aí
- AS
- At
- ataque
- tentativa
- automaticamente
- automatizando
- baseado
- BE
- Porque
- sido
- Começo
- começou
- ser
- Melhor
- entre
- Bloquear
- bloqueio
- Blog
- ambos
- mas a
- by
- Campanhas
- CAN
- Canal
- código
- coincidiu
- vem
- vinda
- Empresa
- Empresa
- Recipiente
- conteúdo
- continuar
- convencer
- poderia
- Cortar
- cibercriminosos
- Daniel
- dados,
- diminuir
- diminuiu
- Padrão
- Defesa
- entregar
- Entrega
- demonstrando
- implantar
- diretamente
- inválido
- distribuir
- documento
- INSTITUCIONAIS
- parece
- não
- dinâmico
- permitir
- habilitado
- inteiramente
- considerações éticas
- Excel
- executar
- longe
- Envie o
- Arquivos
- descoberta
- seguido
- Escolha
- encontrado
- QUADRO
- freqüentemente
- da
- ter
- ido
- hackers
- Ter
- história
- hospedeiro
- HTTPS
- identificador
- identificar
- in
- Incluindo
- Crescimento
- aumentou
- cada vez mais
- infosec
- dentro
- Internet
- ISO
- IT
- segurança de TI
- ESTÁ
- Junho
- Saber
- conhecido
- paisagem
- maior
- mínimo
- menos
- aproveitando
- Biblioteca
- Provável
- LINK
- longo
- macros
- malwares
- marca
- max-width
- mecanismos
- método
- mais
- a maioria
- mover
- múltiplo
- quase
- Novo
- Newsletter
- não
- notável
- notado
- agora
- número
- Outubro
- of
- WOW!
- Office
- on
- aberto
- Opções
- or
- Outros
- Outros
- Visão geral
- parte
- por cento
- Phishing
- articulação
- plano
- platão
- Inteligência de Dados Platão
- PlatãoData
- Popular
- Publique
- primário
- recentemente
- contando
- pesquisa
- pesquisadores
- resiliência
- Revelado
- Execute
- Dito
- mesmo
- segurança
- parecem
- visto
- enviar
- mudança
- Turnos
- Shows
- periodo
- simples
- solteiro
- So
- até aqui
- alguns
- especializando
- Planilha
- começo
- Ainda
- Estratégia
- tal
- suíte
- .
- tática
- tarefas
- Profissionais
- que
- A
- deles
- Eles
- si mesmos
- Este
- deles
- isto
- este ano
- Apesar?
- ameaça
- atores de ameaças
- quinta-feira
- tempo
- para
- VIRAR
- Passando
- tipo
- tipos
- típico
- tipicamente
- urgência
- usar
- usava
- Utilizador
- usuários
- utilização
- VBA
- vasos
- vítimas
- Caminho..
- web
- BEM
- O Quê
- quando
- se
- qual
- enquanto
- precisarão
- Windows
- de
- escreveu
- ano
- zefirnet
- Zip
