Актори загрози орієнтуються на макроблокування Microsoft в Office

Дослідники виявили, що суб’єкти загроз знаходять шлях до стандартного блокування Microsoft макросів у своєму пакеті Office, використовуючи альтернативні файли для розміщення зловмисних корисних навантажень, оскільки основний канал доставки загроз відключено.

Згідно з новими даними Proofpoint, з жовтня 66 року по червень 2021 року використання загрозами вкладених файлів із підтримкою макросів зменшилося приблизно на 2022 відсотків. у своєму блозі четвер. Початок зниження збігся з планом Microsoft розпочати блокування макросів XL4 за замовчуванням для користувачів Excel, після чого цього року почалося блокування макросів VBA за замовчуванням у пакеті Office.

Дослідники Селена Ларсон, Деніел Блекфорд та інші з дослідницької групи Proofpoint Threat Research Team заявили, що суб’єкти погроз, демонструючи свою типову стійкість, поки що не бояться цього кроку, який знаменує собою «одну з найбільших змін у ландшафті загроз електронною поштою в новітній історії». пост.

Хоча кіберзлочинці наразі продовжують використовувати макроси в шкідливих документах, які використовуються у фішингових кампаніях, вони також почали орієнтуватися на стратегію захисту Microsoft, звертаючись до інших типів файлів як судин для зловмисного програмного забезпечення, а саме файлів-контейнерів, таких як вкладення ISO та RAR, а також Вони сказали, що файли Windows Shortcut (LNK).

Дійсно, за той самий вісім місяців, коли використання документів із підтримкою макросів зменшилося, кількість шкідливих кампаній, які використовують файли-контейнери, включаючи вкладення ISO, RAR і LNK, зросла майже на 175 відсотків, виявили дослідники.

«Імовірно, зловмисники продовжуватимуть використовувати формати файлів-контейнерів для доставки зловмисного програмного забезпечення, менше покладаючись на вкладення з підтримкою макросів», — зазначили вони.

Більше немає макросів?

Макроси, які використовуються для автоматизації часто використовуваних завдань в Office, були одними з найбільших народні способи доставляти зловмисне програмне забезпечення у шкідливих вкладеннях електронної пошти принаймні кращу частину десятиліття, оскільки їх можна дозволити простим клацанням миші з боку користувача, коли з’явиться запит.

Макроси давно були вимкнені за замовчуванням в Office, хоча користувачі завжди могли їх увімкнути, що дозволило зловмисникам використовувати як зброю як макроси VBA, які можуть автоматично запускати шкідливий вміст, коли макроси ввімкнено в програмах Office, так і макроси XL4 для Excel. . Як правило, актори використовують соціально спроектований фішингові кампанії щоб переконати жертв у терміновості ввімкнення макросів, щоб вони могли відкривати те, що вони не знають, є шкідливими вкладеними файлами.

Хоча перехід Microsoft до повного блокування макросів поки що не втримав суб’єктів загрози від їхнього використання повністю, він стимулював цей помітний перехід до іншої тактики, кажуть дослідники Proofpoint.

Дослідники зазначили, що ключем до цього зрушення є тактика обходу методу Microsoft для блокування макросів VBA на основі атрибута Mark of the Web (MOTW), який показує, чи надходить файл з Інтернету, відомого як Zone.Identifier.

«Програми Microsoft додають це до деяких документів, коли їх завантажують з Інтернету», — написали вони. «Однак MOTW можна обійти, використовуючи формати контейнерних файлів».

Дійсно, ІТ-безпека компанії Outflank зручно докладно Численні варіанти для етичних хакерів, які спеціалізуються на симуляції атак, відомих як «червоні команди», щоб обійти механізми MOTW, згідно з Proofpoint. Здається, публікація не пройшла непоміченою зловмисниками, оскільки вони також почали застосовувати цю тактику, кажуть дослідники.

Формат файлу Switcheroo

Щоб обійти блокування макросів, зловмисники все частіше використовують такі формати файлів, як ISO (.iso), RAR (.rar), ZIP (.zip) і IMG (.img) для надсилання документів із підтримкою макросів, кажуть дослідники. Це пояснюється тим, що, хоча самі файли матимуть атрибут MOTW, документ всередині, наприклад електронна таблиця з підтримкою макросів, його не матиме, зазначили дослідники.

«Коли документ буде витягнуто, користувачеві все одно доведеться ввімкнути макроси для автоматичного виконання шкідливого коду, але файлова система не ідентифікуватиме документ як документ, що надходить з Інтернету», — написали вони в дописі.

Крім того, суб’єкти загроз можуть використовувати файли-контейнери для прямого розподілу корисних даних, додаючи додатковий вміст, наприклад LNK, DLL, або виконувані файли (.exe), які можна використовувати для виконання зловмисного корисного навантаження, кажуть дослідники.

У Proofpoint також спостерігалося невелике зростання зловживання файлами XLL — типом файлу бібліотеки динамічних посилань (DLL) для Excel — у зловмисних кампаніях, хоча це не таке значне зростання, як використання файлів ISO, RAR і LNK , зазначили вони.