อาชญากรไซเบอร์หันไปใช้ไฟล์คอนเทนเนอร์และกลวิธีอื่นๆ เพื่อเลี่ยงความพยายามของบริษัทที่จะขัดขวางวิธีที่ได้รับความนิยมในการส่งเพย์โหลดฟิชชิ่งที่เป็นอันตราย
นักวิจัยพบว่าผู้คุกคามกำลังหาทางเลี่ยงการบล็อกมาโครเริ่มต้นของ Microsoft ในชุดโปรแกรม Office โดยใช้ไฟล์อื่นเพื่อโฮสต์เพย์โหลดที่เป็นอันตราย ซึ่งขณะนี้ช่องทางหลักสำหรับการส่งภัยคุกคามกำลังถูกตัดออก นักวิจัยพบว่า
การใช้เอกสารแนบที่เปิดใช้งานมาโครโดยผู้คุกคามลดลงประมาณ 66 เปอร์เซ็นต์ระหว่างเดือนตุลาคม 2021 ถึงมิถุนายน 2022 ตามข้อมูลใหม่โดย Proofpoint เปิดเผย ในโพสต์บล็อก วันพฤหัสบดี. จุดเริ่มต้นของการลดลงสอดคล้องกับแผนของ Microsoft ที่จะเริ่มบล็อกมาโคร XL4 ตามค่าเริ่มต้นสำหรับผู้ใช้ Excel ตามมาด้วยการบล็อกของมาโคร VBA ตามค่าเริ่มต้นในชุด Office ในปีนี้
Selena Larson, Daniel Blackford และคนอื่นๆ ในทีมวิจัยภัยคุกคามของ Proofpoint กล่าวใน โพสต์.
แม้ว่าในตอนนี้อาชญากรไซเบอร์จะยังคงใช้มาโครในเอกสารที่เป็นอันตรายซึ่งใช้ในแคมเปญฟิชชิ่ง แต่พวกเขาก็เริ่มหันมาใช้กลยุทธ์การป้องกันของ Microsoft โดยหันไปใช้ไฟล์ประเภทอื่นเป็นคลังเก็บมัลแวร์ กล่าวคือ ไฟล์คอนเทนเนอร์ เช่น ไฟล์แนบ ISO และ RAR รวมถึง พวกเขากล่าวว่าไฟล์ Windows Shortcut (LNK)
นักวิจัยพบว่า ในช่วงแปดเดือนเดียวกันกับที่การใช้เอกสารที่เปิดใช้งานมาโครลดลง จำนวนแคมเปญที่เป็นอันตรายที่ใช้ประโยชน์จากไฟล์คอนเทนเนอร์ รวมถึงไฟล์แนบ ISO, RAR และ LNK เพิ่มขึ้นเกือบ 175%
“มีแนวโน้มว่าผู้คุกคามจะยังคงใช้รูปแบบไฟล์คอนเทนเนอร์เพื่อส่งมัลแวร์ ในขณะที่พึ่งพาไฟล์แนบที่เปิดใช้งานมาโครน้อยลง” พวกเขาตั้งข้อสังเกต
มาโครไม่มีอีกแล้ว?
มาโครซึ่งใช้สำหรับการทำงานอัตโนมัติที่ใช้บ่อยใน Office เป็นมาโครมากที่สุด วิธีที่นิยม เพื่อส่งมัลแวร์ในไฟล์แนบอีเมลที่เป็นอันตรายอย่างน้อย ส่วนที่ดีกว่าของทศวรรษเนื่องจากสามารถอนุญาตได้ด้วยการคลิกเมาส์เพียงครั้งเดียวที่ส่วนของผู้ใช้เมื่อได้รับแจ้ง
มาโครถูกปิดใช้งานโดยค่าเริ่มต้นใน Office มาเป็นเวลานาน แม้ว่าผู้ใช้จะเปิดใช้งานได้ก็ตาม ซึ่งช่วยให้ผู้คุกคามสามารถใช้มาโคร VBA ทั้งสองแบบ ซึ่งสามารถเรียกใช้เนื้อหาที่เป็นอันตรายได้โดยอัตโนมัติเมื่อเปิดใช้งานมาโครในแอป Office รวมถึงมาโคร XL4 เฉพาะของ Excel . โดยปกตินักแสดงใช้ ออกแบบมาเพื่อสังคม แคมเปญฟิชชิง เพื่อโน้มน้าวให้ผู้ที่ตกเป็นเหยื่อของความเร่งด่วนเปิดใช้งานมาโครเพื่อให้สามารถเปิดสิ่งที่พวกเขาไม่ทราบว่าเป็นไฟล์แนบที่เป็นอันตราย
แม้ว่าการย้ายของ Microsoft เพื่อบล็อกมาโครทั้งหมดจนถึงตอนนี้ไม่ได้ขัดขวางไม่ให้ผู้คุกคามใช้พวกมันทั้งหมด แต่ก็ได้กระตุ้นการเปลี่ยนแปลงที่น่าทึ่งนี้ไปสู่กลยุทธ์อื่น ๆ นักวิจัยของ Proofpoint กล่าว
กุญแจสู่การเปลี่ยนแปลงนี้คือกลวิธีในการเลี่ยงวิธีการของ Microsoft ในการบล็อกมาโคร VBA ตามแอตทริบิวต์ Mark of the Web (MOTW) ที่แสดงว่าไฟล์มาจากอินเทอร์เน็ตที่เรียกว่า Zone.Identifier หรือไม่ นักวิจัยตั้งข้อสังเกต
“แอปพลิเคชันของ Microsoft เพิ่มสิ่งนี้ลงในเอกสารบางฉบับเมื่อดาวน์โหลดจากเว็บ” พวกเขาเขียน “อย่างไรก็ตาม สามารถข้าม MOTW ได้โดยใช้รูปแบบไฟล์คอนเทนเนอร์”
แน่นอน บริษัทรักษาความปลอดภัยด้านไอที Outflank สะดวก รายละเอียด หลายตัวเลือกสำหรับแฮ็กเกอร์ที่มีจริยธรรมซึ่งเชี่ยวชาญในการจำลองการโจมตีหรือที่เรียกว่า "ทีมสีแดง" เพื่อเลี่ยงกลไก MOTW ตาม Proofpoint ดูเหมือนว่าโพสต์ดังกล่าวจะไม่มีใครสังเกตเห็นโดยผู้คุกคาม เนื่องจากพวกเขาได้เริ่มปรับใช้กลยุทธ์เหล่านี้แล้ว นักวิจัยกล่าว
รูปแบบไฟล์ Switcheroo
นักวิจัยกล่าวว่าเพื่อหลีกเลี่ยงการบล็อกมาโคร ผู้โจมตีใช้รูปแบบไฟล์เช่น ISO (.iso), RAR (.rar), ZIP (.zip) และ IMG (.img) มากขึ้นเพื่อส่งเอกสารที่เปิดใช้งานมาโคร นักวิจัยตั้งข้อสังเกตว่าแม้ว่าไฟล์เองจะมีแอตทริบิวต์ MOTW แต่เอกสารภายใน เช่น สเปรดชีตที่เปิดใช้มาโครจะไม่มี
“เมื่อดึงเอกสารแล้ว ผู้ใช้จะยังคงต้องเปิดใช้งานมาโครเพื่อให้โค้ดที่เป็นอันตรายทำงานโดยอัตโนมัติ แต่ระบบไฟล์จะไม่ระบุว่าเอกสารนั้นมาจากเว็บ” พวกเขาเขียนไว้ในโพสต์
นอกจากนี้ ผู้คุกคามสามารถใช้ไฟล์คอนเทนเนอร์เพื่อแจกจ่ายเพย์โหลดได้โดยตรงโดยการเพิ่มเนื้อหาเพิ่มเติม เช่น LNK ที่กำลังหรือไฟล์ปฏิบัติการ (.exe) ที่สามารถใช้เพื่อดำเนินการเพย์โหลดที่เป็นอันตรายได้ นักวิจัยกล่าว
Proofpoint ยังพบการเพิ่มขึ้นเล็กน้อยในการใช้ไฟล์ XLL ในทางที่ผิด ซึ่งเป็นไฟล์ประเภทไดนามิกลิงก์ไลบรารี (DLL) สำหรับ Excel ในแคมเปญที่เป็นอันตรายเช่นกัน แม้ว่าจะไม่ได้เพิ่มขึ้นอย่างมีนัยสำคัญเท่ากับการใช้ไฟล์ ISO, RAR และ LNK พวกเขาตั้งข้อสังเกต
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://threatpost.com/threat-pivot-microsofts-macro/180319/
- :มี
- :เป็น
- :ไม่
- $ ขึ้น
- 2021
- 2022
- 50
- 66
- 700
- a
- เกี่ยวกับเรา
- การล่วงละเมิด
- ตาม
- ข้าม
- นักแสดง
- เพิ่ม
- เพิ่ม
- เพิ่มเติม
- อนุญาตให้
- ด้วย
- ทางเลือก
- แม้ว่า
- เสมอ
- ในหมู่
- an
- และ
- ปรากฏ
- การใช้งาน
- ปพลิเคชัน
- เป็น
- รอบ
- AS
- At
- โจมตี
- ความพยายาม
- อัตโนมัติ
- โดยอัตโนมัติ
- ตาม
- BE
- เพราะ
- รับ
- การเริ่มต้น
- เริ่ม
- กำลัง
- ดีกว่า
- ระหว่าง
- ปิดกั้น
- การปิดกั้น
- บล็อก
- ทั้งสอง
- แต่
- by
- แคมเปญ
- CAN
- ช่อง
- รหัส
- ใกล้เคียง
- มา
- มา
- บริษัท
- บริษัท
- ภาชนะ
- เนื้อหา
- ต่อ
- โน้มน้าวใจ
- ได้
- ตัด
- อาชญากรไซเบอร์
- แดเนียล
- ข้อมูล
- ลดลง
- ลดลง
- ค่าเริ่มต้น
- ป้องกัน
- ส่งมอบ
- การจัดส่ง
- แสดงให้เห็นถึง
- ปรับใช้
- โดยตรง
- พิการ
- กระจาย
- เอกสาร
- เอกสาร
- ทำ
- Dont
- พลวัต
- อีเมล
- ทำให้สามารถ
- เปิดการใช้งาน
- อย่างสิ้นเชิง
- ตามหลักจริยธรรม
- Excel
- ดำเนินการ
- ไกล
- เนื้อไม่มีมัน
- ไฟล์
- หา
- ตาม
- สำหรับ
- พบ
- FRAME
- มัก
- ราคาเริ่มต้นที่
- ได้รับ
- ไป
- แฮกเกอร์
- มี
- ประวัติ
- เจ้าภาพ
- HTTPS
- ระบุ
- แยกแยะ
- in
- รวมทั้ง
- เพิ่ม
- เพิ่มขึ้น
- ขึ้น
- อินโฟเซค
- ภายใน
- อินเทอร์เน็ต
- มาตรฐาน ISO
- IT
- ความปลอดภัย
- ITS
- มิถุนายน
- ทราบ
- ที่รู้จักกัน
- ภูมิประเทศ
- ใหญ่ที่สุด
- น้อยที่สุด
- น้อยลง
- การใช้ประโยชน์
- ห้องสมุด
- น่าจะ
- LINK
- นาน
- แมโคร
- มัลแวร์
- เครื่องหมาย
- ความกว้างสูงสุด
- กลไก
- วิธี
- ข้อมูลเพิ่มเติม
- มากที่สุด
- ย้าย
- หลาย
- เกือบทั้งหมด
- ใหม่
- จดหมายข่าว
- ไม่
- โดดเด่น
- เด่น
- ตอนนี้
- จำนวน
- ตุลาคม
- of
- ปิด
- Office
- on
- เปิด
- Options
- or
- อื่นๆ
- ผลิตภัณฑ์อื่นๆ
- ภาพรวม
- ส่วนหนึ่ง
- เปอร์เซ็นต์
- ฟิชชิ่ง
- เดือย
- แผนการ
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- ยอดนิยม
- โพสต์
- ประถม
- เมื่อเร็ว ๆ นี้
- อาศัย
- การวิจัย
- นักวิจัย
- ความยืดหยุ่น
- เปิดเผย
- วิ่ง
- กล่าวว่า
- เดียวกัน
- ความปลอดภัย
- ดูเหมือน
- เห็น
- ส่ง
- เปลี่ยน
- กะ
- แสดงให้เห็นว่า
- สำคัญ
- ง่าย
- เดียว
- So
- จนถึงตอนนี้
- บาง
- ความเชี่ยวชาญ
- สเปรดชีต
- เริ่มต้น
- ยังคง
- กลยุทธ์
- อย่างเช่น
- ชุด
- ระบบ
- กลยุทธ์
- งาน
- ทีม
- ที่
- พื้นที่
- ของพวกเขา
- พวกเขา
- ตัวเอง
- ล้อยางขัดเหล่านี้ติดตั้งบนแกน XNUMX (มม.) ผลิตภัณฑ์นี้ถูกผลิตในหลายรูปทรง และหลากหลายเบอร์ความแน่นหนาของปริมาณอนุภาคขัดของมัน จะทำให้ท่านได้รับประสิทธิภาพสูงในการขัดและการใช้งานที่ยาวนาน
- พวกเขา
- นี้
- ในปีนี้
- แต่?
- การคุกคาม
- ตัวแสดงภัยคุกคาม
- วันพฤหัสบดี
- เวลา
- ไปยัง
- กลับ
- การหมุน
- ชนิด
- ชนิด
- ตามแบบฉบับ
- เป็นปกติ
- การเร่งรีบ
- ใช้
- มือสอง
- ผู้ใช้งาน
- ผู้ใช้
- การใช้
- VBA
- เรือ
- ผู้ที่ตกเป็นเหยื่อ
- ทาง..
- เว็บ
- ดี
- อะไร
- เมื่อ
- ว่า
- ที่
- ในขณะที่
- จะ
- หน้าต่าง
- กับ
- เขียน
- ปี
- ลมทะเล
- รหัสไปรษณีย์