Кіберзлочинці вдаються до файлів-контейнерів та інших тактик, щоб уникнути спроби компанії перешкодити популярному способу доставки зловмисних фішингових даних.
Дослідники виявили, що суб’єкти загроз знаходять шлях до стандартного блокування Microsoft макросів у своєму пакеті Office, використовуючи альтернативні файли для розміщення зловмисних корисних навантажень, оскільки основний канал доставки загроз відключено.
Згідно з новими даними Proofpoint, з жовтня 66 року по червень 2021 року використання загрозами вкладених файлів із підтримкою макросів зменшилося приблизно на 2022 відсотків. у своєму блозі четвер. Початок зниження збігся з планом Microsoft розпочати блокування макросів XL4 за замовчуванням для користувачів Excel, після чого цього року почалося блокування макросів VBA за замовчуванням у пакеті Office.
Дослідники Селена Ларсон, Деніел Блекфорд та інші з дослідницької групи Proofpoint Threat Research Team заявили, що суб’єкти погроз, демонструючи свою типову стійкість, поки що не бояться цього кроку, який знаменує собою «одну з найбільших змін у ландшафті загроз електронною поштою в новітній історії». пост.
Хоча кіберзлочинці наразі продовжують використовувати макроси в шкідливих документах, які використовуються у фішингових кампаніях, вони також почали орієнтуватися на стратегію захисту Microsoft, звертаючись до інших типів файлів як судин для зловмисного програмного забезпечення, а саме файлів-контейнерів, таких як вкладення ISO та RAR, а також Вони сказали, що файли Windows Shortcut (LNK).
Дійсно, за той самий вісім місяців, коли використання документів із підтримкою макросів зменшилося, кількість шкідливих кампаній, які використовують файли-контейнери, включаючи вкладення ISO, RAR і LNK, зросла майже на 175 відсотків, виявили дослідники.
«Імовірно, зловмисники продовжуватимуть використовувати формати файлів-контейнерів для доставки зловмисного програмного забезпечення, менше покладаючись на вкладення з підтримкою макросів», — зазначили вони.
Більше немає макросів?
Макроси, які використовуються для автоматизації часто використовуваних завдань в Office, були одними з найбільших народні способи доставляти зловмисне програмне забезпечення у шкідливих вкладеннях електронної пошти принаймні кращу частину десятиліття, оскільки їх можна дозволити простим клацанням миші з боку користувача, коли з’явиться запит.
Макроси давно були вимкнені за замовчуванням в Office, хоча користувачі завжди могли їх увімкнути, що дозволило зловмисникам використовувати як зброю як макроси VBA, які можуть автоматично запускати шкідливий вміст, коли макроси ввімкнено в програмах Office, так і макроси XL4 для Excel. . Як правило, актори використовують соціально спроектований фішингові кампанії щоб переконати жертв у терміновості ввімкнення макросів, щоб вони могли відкривати те, що вони не знають, є шкідливими вкладеними файлами.
Хоча перехід Microsoft до повного блокування макросів поки що не втримав суб’єктів загрози від їхнього використання повністю, він стимулював цей помітний перехід до іншої тактики, кажуть дослідники Proofpoint.
Дослідники зазначили, що ключем до цього зрушення є тактика обходу методу Microsoft для блокування макросів VBA на основі атрибута Mark of the Web (MOTW), який показує, чи надходить файл з Інтернету, відомого як Zone.Identifier.
«Програми Microsoft додають це до деяких документів, коли їх завантажують з Інтернету», — написали вони. «Однак MOTW можна обійти, використовуючи формати контейнерних файлів».
Дійсно, ІТ-безпека компанії Outflank зручно докладно Численні варіанти для етичних хакерів, які спеціалізуються на симуляції атак, відомих як «червоні команди», щоб обійти механізми MOTW, згідно з Proofpoint. Здається, публікація не пройшла непоміченою зловмисниками, оскільки вони також почали застосовувати цю тактику, кажуть дослідники.
Формат файлу Switcheroo
Щоб обійти блокування макросів, зловмисники все частіше використовують такі формати файлів, як ISO (.iso), RAR (.rar), ZIP (.zip) і IMG (.img) для надсилання документів із підтримкою макросів, кажуть дослідники. Це пояснюється тим, що, хоча самі файли матимуть атрибут MOTW, документ всередині, наприклад електронна таблиця з підтримкою макросів, його не матиме, зазначили дослідники.
«Коли документ буде витягнуто, користувачеві все одно доведеться ввімкнути макроси для автоматичного виконання шкідливого коду, але файлова система не ідентифікуватиме документ як документ, що надходить з Інтернету», — написали вони в дописі.
Крім того, суб’єкти загроз можуть використовувати файли-контейнери для прямого розподілу корисних даних, додаючи додатковий вміст, наприклад LNK, DLL, або виконувані файли (.exe), які можна використовувати для виконання зловмисного корисного навантаження, кажуть дослідники.
У Proofpoint також спостерігалося невелике зростання зловживання файлами XLL — типом файлу бібліотеки динамічних посилань (DLL) для Excel — у зловмисних кампаніях, хоча це не таке значне зростання, як використання файлів ISO, RAR і LNK , зазначили вони.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://threatpost.com/threat-pivot-microsofts-macro/180319/
- : має
- :є
- : ні
- $UP
- 2021
- 2022
- 50
- 66
- 700
- a
- МЕНЮ
- зловживання
- За
- через
- актори
- додавати
- додати
- Додатковий
- дозволено
- Також
- альтернатива
- хоча
- завжди
- серед
- an
- та
- з'являтися
- застосування
- додатка
- ЕСТЬ
- навколо
- AS
- At
- атака
- спроба
- автоматично
- автоматизація
- заснований
- BE
- оскільки
- було
- початок
- почався
- буття
- Краще
- між
- Блокувати
- блокування
- Блог
- обидва
- але
- by
- Кампанії
- CAN
- Канал
- код
- співпала
- приходить
- майбутній
- компанія
- Компанії
- Контейнер
- зміст
- продовжувати
- переконати
- може
- Вирізати
- кіберзлочинці
- Данило
- дані
- зменшити
- знизився
- дефолт
- оборони
- доставляти
- доставка
- демонстрація
- розгортання
- безпосередньо
- інвалід
- поширювати
- документ
- документація
- робить
- Не знаю
- динамічний
- включіть
- включений
- повністю
- етичний
- перевершувати
- виконувати
- далеко
- філе
- Файли
- виявлення
- потім
- для
- знайдений
- FRAME
- часто
- від
- отримати
- пішов
- хакери
- Мати
- історія
- господар
- HTTPS
- ідентифікатор
- ідентифікувати
- in
- У тому числі
- Augmenter
- збільшений
- все більше і більше
- INFOSEC
- всередині
- інтернет
- ISO
- IT
- це безпека
- ЙОГО
- червень
- Знати
- відомий
- ландшафт
- найбільших
- найменш
- менше
- використання
- бібліотека
- Ймовірно
- LINK
- Довго
- макроси
- шкідливих програм
- позначити
- макс-ширина
- механізми
- метод
- більше
- найбільш
- рухатися
- множинний
- майже
- Нові
- Інформаційний бюлетень
- немає
- Помітний
- зазначив,
- зараз
- номер
- жовтень
- of
- від
- Office
- on
- відкрити
- Опції
- or
- Інше
- інші
- огляд
- частина
- відсотків
- phishing
- Стрижень
- план
- plato
- Інформація про дані Платона
- PlatoData
- популярний
- пошта
- первинний
- останній
- покладаючись
- дослідження
- Дослідники
- пружність
- Показали
- прогін
- Зазначений
- то ж
- безпеку
- здається
- бачив
- послати
- зсув
- Зміни
- Шоу
- значний
- простий
- один
- So
- так далеко
- деякі
- спеціалізується
- Електронна таблиця
- старт
- Як і раніше
- Стратегія
- такі
- набір
- система
- тактика
- завдання
- команда
- Що
- Команда
- їх
- Їх
- самі
- Ці
- вони
- це
- У цьому році
- хоча?
- загроза
- актори загроз
- четвер, четвер
- час
- до
- ПЕРЕГЛЯД
- Поворот
- тип
- Типи
- типовий
- типово
- терміновість
- використання
- використовуваний
- користувач
- користувачі
- використання
- VBA
- суду
- жертви
- шлях..
- Web
- ДОБРЕ
- Що
- коли
- Чи
- який
- в той час як
- волі
- windows
- з
- пише
- рік
- зефірнет
- Zip