Злоумышленники обсуждают блокировку макросов Microsoft в Office

Исследователи обнаружили, что злоумышленники находят способ обойти блокировку макросов Microsoft по умолчанию в своем пакете Office, используя альтернативные файлы для размещения вредоносных полезных нагрузок теперь, когда основной канал для доставки угроз отключен.

Согласно новым данным, опубликованным Proofpoint, использование злоумышленниками вложений с поддержкой макросов сократилось примерно на 66 процентов в период с октября 2021 года по июнь 2022 года. в блоге Четверг. Начало снижения совпало с планом Microsoft начать блокировать макросы XL4 по умолчанию для пользователей Excel, за которым последовала блокировка макросов VBA по умолчанию в пакете Office в этом году.

Субъекты угроз, демонстрирующие свою типичную устойчивость, до сих пор не испугались этого шага, который знаменует собой «одно из крупнейших изменений в ландшафте угроз электронной почты в новейшей истории», — заявили исследователи Селена Ларсон, Дэниел Блэкфорд и другие из группы исследования угроз Proofpoint. Почта.

Хотя киберпреступники в настоящее время продолжают использовать макросы во вредоносных документах, используемых в фишинговых кампаниях, они также начали вращаться вокруг стратегии защиты Microsoft, обращаясь к другим типам файлов в качестве носителей для вредоносных программ, а именно к файлам-контейнерам, таким как вложения ISO и RAR, а также По их словам, файлы Windows Shortcut (LNK).

Действительно, исследователи обнаружили, что за те же восемь месяцев, когда использование документов с поддержкой макросов сократилось, количество вредоносных кампаний, использующих контейнерные файлы, включая вложения ISO, RAR и LNK, увеличилось почти на 175 процентов.

«Скорее всего, субъекты угроз будут продолжать использовать форматы файлов-контейнеров для доставки вредоносного ПО, меньше полагаясь на вложения с поддержкой макросов», — отметили они.

Макросов больше нет?

Макросы, которые используются для автоматизации часто используемых задач в Office, были одними из самых популярные способы доставлять вредоносное ПО во вредоносных вложениях электронной почты на срок не менее лучшая часть десятилетия, так как они могут быть разрешены простым щелчком мыши со стороны пользователя при появлении запроса.

Макросы долгое время были отключены по умолчанию в Office, хотя пользователи всегда могли их включить, что позволило злоумышленникам использовать как макросы VBA, которые могут автоматически запускать вредоносный контент, когда макросы включены в приложениях Office, так и макросы XL4 для Excel. . Обычно актеры используют социально спроектированный фишинговые кампании чтобы убедить жертв в срочности включения макросов, чтобы они могли открывать то, что они не знают, являются вредоносными вложениями файлов.

Хотя стремление Microsoft полностью блокировать макросы до сих пор не удержало злоумышленников от их полного использования, оно подтолкнуло этот заметный переход к другим тактикам, говорят исследователи Proofpoint.

Ключом к этому сдвигу является тактика обхода метода Microsoft для блокировки макросов VBA на основе атрибута Mark of the Web (MOTW), который показывает, получен ли файл из Интернета, известного как Zone.Identifier, отмечают исследователи.

«Приложения Microsoft добавляют это в некоторые документы, когда они загружаются из Интернета», — написали они. «Однако MOTW можно обойти, используя форматы файлов-контейнеров».

Действительно, компания ИТ-безопасности Outflank удобно подробный По данным Proofpoint, несколько вариантов для этичных хакеров, специализирующихся на моделировании атак, известных как «красные команды», для обхода механизмов MOTW. По словам исследователей, этот пост, похоже, не остался незамеченным злоумышленниками, поскольку они также начали применять эту тактику.

Переключение форматов файлов

По словам исследователей, чтобы обойти блокировку макросов, злоумышленники все чаще используют такие форматы файлов, как файлы ISO (.iso), RAR (.rar), ZIP (.zip) и IMG (.img) для отправки документов с поддержкой макросов. Это связано с тем, что, хотя сами файлы будут иметь атрибут MOTW, документ внутри, такой как электронная таблица с поддержкой макросов, не будет, отметили исследователи.

«Когда документ будет извлечен, пользователю все равно придется включить макросы для автоматического выполнения вредоносного кода, но файловая система не идентифицирует документ как полученный из Интернета», — написали они в сообщении.

Кроме того, злоумышленники могут использовать файлы-контейнеры для прямого распространения полезной нагрузки, добавляя дополнительный контент, такой как LNK, библиотеки DLL, или исполняемые (.exe) файлы, которые можно использовать для выполнения вредоносной полезной нагрузки, говорят исследователи.

Proofpoint также зафиксировала небольшой всплеск злоупотребления файлами XLL — типом файла библиотеки динамической компоновки (DLL) для Excel — в вредоносных кампаниях, хотя и не так значительно, как использование файлов ISO, RAR и LNK. , - отметили они.