Cyberbrottslingar vänder sig till containerfiler och annan taktik för att komma runt företagets försök att omintetgöra ett populärt sätt att leverera skadliga nätfiskenyttolaster.
Hotaktörer letar sig runt Microsofts standardblockering av makron i sin Office-svit, och använder alternativa filer för att vara värd för skadliga nyttolaster nu när en primär kanal för hotleverans stängs av, har forskare funnit.
Användningen av makroaktiverade bilagor av hotaktörer minskade med cirka 66 procent mellan oktober 2021 och juni 2022, enligt nya data från Proofpoint som avslöjades i ett blogginlägg torsdag. Början av minskningen sammanföll med Microsofts plan att börja blockera XL4-makron som standard för Excel-användare, följt upp med blockering av VBA-makron som standard i Office-paketet i år.
Hotaktörer, som visar sin typiska motståndskraft, verkar än så länge oförskämda av flytten, som markerar "en av de största förändringarna i e-posthotlandskapet i nyare historia", sa forskarna Selena Larson, Daniel Blackford och andra på Proofpoint Threat Research Team. ett inlägg.
Även om cyberbrottslingar för närvarande fortsätter att använda makron i skadliga dokument som används i nätfiskekampanjer, har de också börjat vända sig kring Microsofts försvarsstrategi genom att vända sig till andra filtyper som fartyg för skadlig programvara – nämligen containerfiler som ISO- och RAR-bilagor samt Windows Shortcut (LNK) filer, sa de.
Faktum är att under samma åtta månaders tidsram som användningen av makroaktiverade dokument minskade, ökade antalet skadliga kampanjer som utnyttjade containerfiler inklusive ISO-, RAR- och LNK-bilagor med nästan 175 procent, fann forskare.
"Det är troligt att hotaktörer kommer att fortsätta att använda containerfilformat för att leverera skadlig programvara, samtidigt som de förlitar sig mindre på makroaktiverade bilagor", noterade de.
Inga fler makron?
Makron, som används för att automatisera ofta använda uppgifter i Office, har varit bland de mest populära sätt att leverera skadlig programvara i skadliga e-postbilagor i minst den bättre delen av ett decennium, eftersom de kan tillåtas med ett enkelt, enda musklick från användarens sida när du uppmanas.
Makron har länge varit inaktiverade som standard i Office, även om användare alltid kunde aktivera dem – vilket har gjort det möjligt för hotaktörer att beväpna båda VBA-makron, som automatiskt kan köra skadligt innehåll när makron är aktiverade i Office-appar, såväl som Excel-specifika XL4-makron . Vanligtvis använder skådespelarna socialt konstruerad phishing-kampanjer för att övertyga offer om att det är brådskande att aktivera makron så att de kan öppna det de inte vet är skadliga filbilagor.
Även om Microsofts drag att blockera makron helt hittills inte har avskräckt hotaktörer från att använda dem helt, har det sporrat denna anmärkningsvärda övergång till andra taktiker, sa Proofpoint-forskare.
Nyckeln till denna förändring är taktik för att kringgå Microsofts metod för att blockera VBA-makron baserat på ett Mark of the Web-attribut (MOTW) som visar om en fil kommer från internet, känd som Zone.Identifier, noterade forskare.
"Microsoft-applikationer lägger till detta i vissa dokument när de laddas ner från webben", skrev de. "Men MOTW kan kringgås genom att använda containerfilformat."
Faktum är att IT-säkerhetsföretaget Outflank bekvämt detaljerad flera alternativ för etiska hackare som specialiserat sig på attacksimulering – så kallade "red teamers" – för att kringgå MOTW-mekanismer, enligt Proofpoint. Inlägget verkar inte ha gått obemärkt förbi av hotaktörer, eftersom de också har börjat använda denna taktik, sa forskare.
Filformat Switcheroo
För att kringgå blockering av makron använder angripare allt oftare filformat som ISO (.iso), RAR (.rar), ZIP (.zip) och IMG (.img)-filer för att skicka makroaktiverade dokument, sa forskare. Detta beror på att även om filerna själva kommer att ha MOTW-attributet, kommer dokumentet inuti, såsom ett makroaktiverat kalkylblad, inte att göra det, noterade forskare.
"När dokumentet extraheras måste användaren fortfarande aktivera makron för att den skadliga koden ska köras automatiskt, men filsystemet kommer inte att identifiera dokumentet som kommer från webben", skrev de i inlägget.
Dessutom kan hotaktörer använda containerfiler för att distribuera nyttolaster direkt genom att lägga till ytterligare innehåll som LNKs, DLL, eller körbara (.exe) filer som kan användas för att köra en skadlig nyttolast, sa forskare.
Proofpoint har också sett en liten ökning i missbruket av XLL-filer – en typ av DLL-fil (dynamic link library) för Excel – även i skadliga kampanjer, även om det inte är lika betydande ökningar som användningen av ISO-, RAR- och LNK-filer , noterade de.
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
- PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
- Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
- PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
- Källa: https://threatpost.com/threat-pivot-microsofts-macro/180319/
- : har
- :är
- :inte
- $UPP
- 2021
- 2022
- 50
- 66
- 700
- a
- Om oss
- missbruk
- Enligt
- tvärs
- aktörer
- lägga till
- tillsats
- Annat
- tillåts
- också
- alternativ
- Även
- alltid
- bland
- an
- och
- visas
- tillämpningar
- appar
- ÄR
- runt
- AS
- At
- attackera
- försök
- automatiskt
- automatisera
- baserat
- BE
- därför att
- varit
- Börjar
- börjat
- Där vi får lov att vara utan att konstant prestera,
- Bättre
- mellan
- Blockera
- blockering
- Blogg
- båda
- men
- by
- Kampanjer
- KAN
- Kanal
- koda
- sammanföll
- kommer
- kommande
- företag
- Företagets
- Behållare
- innehåll
- fortsätta
- övertyga
- kunde
- Klipp
- nätbrottslingar
- Daniel
- datum
- minskning
- minskade
- Standard
- Försvar
- leverera
- leverans
- demonstrera
- distribuera
- direkt
- inaktiverad
- distribuera
- dokumentera
- dokument
- gör
- inte
- dynamisk
- möjliggöra
- aktiverad
- helt
- etisk
- excel
- exekvera
- långt
- Fil
- Filer
- finna
- följt
- För
- hittade
- RAM
- ofta
- från
- skaffa sig
- borta
- hackare
- Har
- historia
- värd
- HTTPS
- identifierare
- identifiera
- in
- Inklusive
- Öka
- ökat
- alltmer
- INFOSEC
- inuti
- Internet
- ISO
- IT
- det säkerhet
- DESS
- juni
- Vet
- känd
- liggande
- största
- t minst
- mindre
- hävstångs
- Bibliotek
- sannolikt
- LINK
- Lång
- makron
- malware
- markera
- max-bredd
- mekanismer
- metod
- mer
- mest
- flytta
- multipel
- nästan
- Nya
- Nyhetsbrev
- Nej
- anmärkningsvärd
- noterade
- nu
- antal
- oktober
- of
- sänkt
- Office
- on
- öppet
- Tillbehör
- or
- Övriga
- Övrigt
- Översikt
- del
- procent
- Nätfiske
- pivot
- Planen
- plato
- Platon Data Intelligence
- PlatonData
- Populära
- Inlägg
- primär
- senaste
- förlita
- forskning
- forskare
- motståndskraft
- avslöjade
- Körning
- Nämnda
- Samma
- säkerhet
- verka
- sett
- sända
- skifta
- Skift
- Visar
- signifikant
- Enkelt
- enda
- So
- än så länge
- några
- specialiserat
- kalkylblad
- starta
- Fortfarande
- Strategi
- sådana
- svit
- system
- taktik
- uppgifter
- grupp
- den där
- Smakämnen
- deras
- Dem
- sig själva
- Dessa
- de
- detta
- i år
- fastän?
- hot
- hotaktörer
- torsdag
- tid
- till
- SVÄNG
- Vrida
- Typ
- typer
- typisk
- typiskt
- urgency
- användning
- Begagnade
- Användare
- användare
- med hjälp av
- VBA
- fartyg
- offer
- Sätt..
- webb
- VÄL
- Vad
- när
- om
- som
- medan
- kommer
- fönster
- med
- skrev
- år
- zephyrnet
- Postnummer
