ตัวแสดงภัยคุกคามหมุนวนรอบการบล็อกมาโครของ Microsoft ใน Office

นักวิจัยพบว่าผู้คุกคามกำลังหาทางเลี่ยงการบล็อกมาโครเริ่มต้นของ Microsoft ในชุดโปรแกรม Office โดยใช้ไฟล์อื่นเพื่อโฮสต์เพย์โหลดที่เป็นอันตราย ซึ่งขณะนี้ช่องทางหลักสำหรับการส่งภัยคุกคามกำลังถูกตัดออก นักวิจัยพบว่า

การใช้เอกสารแนบที่เปิดใช้งานมาโครโดยผู้คุกคามลดลงประมาณ 66 เปอร์เซ็นต์ระหว่างเดือนตุลาคม 2021 ถึงมิถุนายน 2022 ตามข้อมูลใหม่โดย Proofpoint เปิดเผย ในโพสต์บล็อก วันพฤหัสบดี. จุดเริ่มต้นของการลดลงสอดคล้องกับแผนของ Microsoft ที่จะเริ่มบล็อกมาโคร XL4 ตามค่าเริ่มต้นสำหรับผู้ใช้ Excel ตามมาด้วยการบล็อกของมาโคร VBA ตามค่าเริ่มต้นในชุด Office ในปีนี้

Selena Larson, Daniel Blackford และคนอื่นๆ ในทีมวิจัยภัยคุกคามของ Proofpoint กล่าวใน โพสต์.

แม้ว่าในตอนนี้อาชญากรไซเบอร์จะยังคงใช้มาโครในเอกสารที่เป็นอันตรายซึ่งใช้ในแคมเปญฟิชชิ่ง แต่พวกเขาก็เริ่มหันมาใช้กลยุทธ์การป้องกันของ Microsoft โดยหันไปใช้ไฟล์ประเภทอื่นเป็นคลังเก็บมัลแวร์ กล่าวคือ ไฟล์คอนเทนเนอร์ เช่น ไฟล์แนบ ISO และ RAR รวมถึง พวกเขากล่าวว่าไฟล์ Windows Shortcut (LNK)

นักวิจัยพบว่า ในช่วงแปดเดือนเดียวกันกับที่การใช้เอกสารที่เปิดใช้งานมาโครลดลง จำนวนแคมเปญที่เป็นอันตรายที่ใช้ประโยชน์จากไฟล์คอนเทนเนอร์ รวมถึงไฟล์แนบ ISO, RAR และ LNK เพิ่มขึ้นเกือบ 175%

“มีแนวโน้มว่าผู้คุกคามจะยังคงใช้รูปแบบไฟล์คอนเทนเนอร์เพื่อส่งมัลแวร์ ในขณะที่พึ่งพาไฟล์แนบที่เปิดใช้งานมาโครน้อยลง” พวกเขาตั้งข้อสังเกต

มาโครไม่มีอีกแล้ว?

มาโครซึ่งใช้สำหรับการทำงานอัตโนมัติที่ใช้บ่อยใน Office เป็นมาโครมากที่สุด วิธีที่นิยม เพื่อส่งมัลแวร์ในไฟล์แนบอีเมลที่เป็นอันตรายอย่างน้อย ส่วนที่ดีกว่าของทศวรรษเนื่องจากสามารถอนุญาตได้ด้วยการคลิกเมาส์เพียงครั้งเดียวที่ส่วนของผู้ใช้เมื่อได้รับแจ้ง

มาโครถูกปิดใช้งานโดยค่าเริ่มต้นใน Office มาเป็นเวลานาน แม้ว่าผู้ใช้จะเปิดใช้งานได้ก็ตาม ซึ่งช่วยให้ผู้คุกคามสามารถใช้มาโคร VBA ทั้งสองแบบ ซึ่งสามารถเรียกใช้เนื้อหาที่เป็นอันตรายได้โดยอัตโนมัติเมื่อเปิดใช้งานมาโครในแอป Office รวมถึงมาโคร XL4 เฉพาะของ Excel . โดยปกตินักแสดงใช้ ออกแบบมาเพื่อสังคม แคมเปญฟิชชิง เพื่อโน้มน้าวให้ผู้ที่ตกเป็นเหยื่อของความเร่งด่วนเปิดใช้งานมาโครเพื่อให้สามารถเปิดสิ่งที่พวกเขาไม่ทราบว่าเป็นไฟล์แนบที่เป็นอันตราย

แม้ว่าการย้ายของ Microsoft เพื่อบล็อกมาโครทั้งหมดจนถึงตอนนี้ไม่ได้ขัดขวางไม่ให้ผู้คุกคามใช้พวกมันทั้งหมด แต่ก็ได้กระตุ้นการเปลี่ยนแปลงที่น่าทึ่งนี้ไปสู่กลยุทธ์อื่น ๆ นักวิจัยของ Proofpoint กล่าว

กุญแจสู่การเปลี่ยนแปลงนี้คือกลวิธีในการเลี่ยงวิธีการของ Microsoft ในการบล็อกมาโคร VBA ตามแอตทริบิวต์ Mark of the Web (MOTW) ที่แสดงว่าไฟล์มาจากอินเทอร์เน็ตที่เรียกว่า Zone.Identifier หรือไม่ นักวิจัยตั้งข้อสังเกต

“แอปพลิเคชันของ Microsoft เพิ่มสิ่งนี้ลงในเอกสารบางฉบับเมื่อดาวน์โหลดจากเว็บ” พวกเขาเขียน “อย่างไรก็ตาม สามารถข้าม MOTW ได้โดยใช้รูปแบบไฟล์คอนเทนเนอร์”

แน่นอน บริษัทรักษาความปลอดภัยด้านไอที Outflank สะดวก รายละเอียด หลายตัวเลือกสำหรับแฮ็กเกอร์ที่มีจริยธรรมซึ่งเชี่ยวชาญในการจำลองการโจมตีหรือที่เรียกว่า "ทีมสีแดง" เพื่อเลี่ยงกลไก MOTW ตาม Proofpoint ดูเหมือนว่าโพสต์ดังกล่าวจะไม่มีใครสังเกตเห็นโดยผู้คุกคาม เนื่องจากพวกเขาได้เริ่มปรับใช้กลยุทธ์เหล่านี้แล้ว นักวิจัยกล่าว

รูปแบบไฟล์ Switcheroo

นักวิจัยกล่าวว่าเพื่อหลีกเลี่ยงการบล็อกมาโคร ผู้โจมตีใช้รูปแบบไฟล์เช่น ISO (.iso), RAR (.rar), ZIP (.zip) และ IMG (.img) มากขึ้นเพื่อส่งเอกสารที่เปิดใช้งานมาโคร นักวิจัยตั้งข้อสังเกตว่าแม้ว่าไฟล์เองจะมีแอตทริบิวต์ MOTW แต่เอกสารภายใน เช่น สเปรดชีตที่เปิดใช้มาโครจะไม่มี

“เมื่อดึงเอกสารแล้ว ผู้ใช้จะยังคงต้องเปิดใช้งานมาโครเพื่อให้โค้ดที่เป็นอันตรายทำงานโดยอัตโนมัติ แต่ระบบไฟล์จะไม่ระบุว่าเอกสารนั้นมาจากเว็บ” พวกเขาเขียนไว้ในโพสต์

นอกจากนี้ ผู้คุกคามสามารถใช้ไฟล์คอนเทนเนอร์เพื่อแจกจ่ายเพย์โหลดได้โดยตรงโดยการเพิ่มเนื้อหาเพิ่มเติม เช่น LNK ที่กำลังหรือไฟล์ปฏิบัติการ (.exe) ที่สามารถใช้เพื่อดำเนินการเพย์โหลดที่เป็นอันตรายได้ นักวิจัยกล่าว

Proofpoint ยังพบการเพิ่มขึ้นเล็กน้อยในการใช้ไฟล์ XLL ในทางที่ผิด ซึ่งเป็นไฟล์ประเภทไดนามิกลิงก์ไลบรารี (DLL) สำหรับ Excel ในแคมเปญที่เป็นอันตรายเช่นกัน แม้ว่าจะไม่ได้เพิ่มขึ้นอย่างมีนัยสำคัญเท่ากับการใช้ไฟล์ ISO, RAR และ LNK พวกเขาตั้งข้อสังเกต