Actorii amenințărilor pivotează în jurul macroblocării Microsoft în Office

Actorii amenințărilor își găsesc drumul în jurul blocării implicite de macrocomenzi de către Microsoft în suita sa Office, folosind fișiere alternative pentru a găzdui încărcături utile rău intenționate acum, când un canal principal pentru livrarea amenințărilor este întrerupt, au descoperit cercetătorii.

Utilizarea atașamentelor activate de macrocomenzi de către actorii amenințărilor a scăzut cu aproximativ 66% între octombrie 2021 și iunie 2022, potrivit noilor date de la Proofpoint dezvăluite într-un post pe blog Joi. Începutul scăderii a coincis cu planul Microsoft de a începe blocarea macrocomenzilor XL4 în mod implicit pentru utilizatorii Excel, urmată de blocarea implicită a macrocomenzilor VBA în suita Office în acest an.

Actorii amenințărilor, care demonstrează rezistența lor tipică, par până acum nedescurați de mișcare, care marchează „una dintre cele mai mari schimbări în peisajul amenințărilor prin e-mail din istoria recentă”, au spus cercetătorii Selena Larson, Daniel Blackford și alții din echipa de cercetare a amenințărilor Proofpoint. o postare.

Deși deocamdată infractorii cibernetici continuă să folosească macrocomenzi în documentele rău intenționate utilizate în campaniile de phishing, ei au început, de asemenea, să se orienteze în jurul strategiei de apărare a Microsoft, apelând la alte tipuri de fișiere ca vase pentru malware - și anume fișiere container, cum ar fi atașamente ISO și RAR, precum și Fișierele Windows Shortcut (LNK), au spus ei.

Într-adevăr, în același interval de opt luni în care utilizarea documentelor activate cu macrocomenzi a scăzut, numărul de campanii rău intenționate care utilizează fișiere container, inclusiv atașamente ISO, RAR și LNK, a crescut cu aproape 175 la sută, au descoperit cercetătorii.

„Este probabil ca actorii amenințărilor să continue să folosească formate de fișiere container pentru a furniza malware, în timp ce se bazează mai puțin pe atașamentele cu macro-activate”, au observat ei.

Macro-urile nu mai sunt?

Macro-urile, care sunt folosite pentru automatizarea sarcinilor utilizate frecvent în Office, au fost printre cele mai multe moduri populare pentru a furniza programe malware în atașamente de e-mail rău intenționate cel puțin cea mai mare parte a unui deceniu, deoarece acestea pot fi permise printr-un simplu clic cu mouse-ul din partea utilizatorului atunci când este solicitat.

Macro-urile au fost dezactivate de mult timp în mod implicit în Office, deși utilizatorii le-au putut activa întotdeauna, ceea ce a permis actorilor de amenințări să armeze atât macrocomenzile VBA, care pot rula automat conținut rău intenționat atunci când macrocomenzile sunt activate în aplicațiile Office, cât și macrocomenzile XL4 specifice Excel. . De obicei actorii folosesc proiectat social campanii de phishing pentru a convinge victimele urgenței să activeze macrocomenzi, astfel încât să poată deschide ceea ce nu știu că sunt atașamente de fișiere rău intenționate.

Deși mișcarea Microsoft de a bloca complet macrocomenzile până acum nu a descurajat actorii amenințărilor să le folosească în totalitate, a stimulat această schimbare notabilă către alte tactici, au spus cercetătorii Proofpoint.

Cheia acestei schimbări sunt tacticile de a ocoli metoda Microsoft de a bloca macrocomenzile VBA pe baza unui atribut Mark of the Web (MOTW) care arată dacă un fișier provine de pe internet cunoscut sub numele de Zone.Identifier, au observat cercetătorii.

„Aplicațiile Microsoft adaugă acest lucru la unele documente atunci când sunt descărcate de pe web”, au scris ei. „Cu toate acestea, MOTW poate fi ocolit utilizând formate de fișiere container.”

Într-adevăr, compania de securitate IT Outflank convenabil detaliat opțiuni multiple pentru hackerii etici specializați în simularea atacurilor – cunoscute sub denumirea de „echipe roșii” – pentru a ocoli mecanismele MOTW, potrivit Proofpoint. Postarea nu pare să fi trecut neobservată de actorii amenințărilor, deoarece și ei au început să aplice aceste tactici, au spus cercetătorii.

Schimbător de format de fișiere

Pentru a evita blocarea macrocomenzilor, atacatorii folosesc din ce în ce mai mult formate de fișiere, cum ar fi fișierele ISO (.iso), RAR (.rar), ZIP (.zip) și IMG (.img) pentru a trimite documente cu macrocomenzi, au spus cercetătorii. Acest lucru se datorează faptului că, deși fișierele în sine vor avea atributul MOTW, documentul din interior, cum ar fi o foaie de calcul macro-activată, nu va avea, au observat cercetătorii.

„Când documentul este extras, utilizatorul va trebui să activeze macrocomenzi pentru ca codul rău intenționat să se execute automat, dar sistemul de fișiere nu va identifica documentul ca provenind de pe web”, au scris ei în postare.

În plus, actorii amenințărilor pot folosi fișierele container pentru a distribui direct încărcături utile, adăugând conținut suplimentar, cum ar fi LNK-uri, DLL-uri, sau fișiere executabile (.exe) care pot fi folosite pentru a executa o sarcină utilă rău intenționată, au spus cercetătorii.

Proofpoint a înregistrat, de asemenea, o ușoară creștere a abuzului fișierelor XLL – un tip de fișier DLL (dynamic link library) pentru Excel – și în campaniile rău intenționate, deși nu o creștere la fel de semnificativă ca utilizarea fișierelor ISO, RAR și LNK. , au notat ei.