Tội phạm mạng chuyển sang các tệp vùng chứa và các chiến thuật khác để vượt qua nỗ lực của công ty nhằm ngăn cản một cách phổ biến để cung cấp các tải trọng lừa đảo độc hại.
Các nhà nghiên cứu đã phát hiện ra rằng các tác nhân đe dọa đang tìm cách ngăn chặn việc chặn macro mặc định của Microsoft trong bộ Office của họ, sử dụng các tệp thay thế để lưu trữ các tải trọng độc hại khi kênh chính để phân phối mối đe dọa đang bị cắt, các nhà nghiên cứu đã phát hiện ra.
Việc sử dụng các tệp đính kèm hỗ trợ macro bởi các tác nhân đe dọa đã giảm khoảng 66% từ tháng 2021 năm 2022 đến tháng XNUMX năm XNUMX, theo dữ liệu mới của Proofpoint tiết lộ trong một bài đăng blog Thứ năm. Thời điểm bắt đầu giảm trùng với kế hoạch của Microsoft là bắt đầu chặn macro XL4 theo mặc định cho người dùng Excel, sau đó là việc chặn macro VBA theo mặc định trên bộ Office trong năm nay.
Các tác nhân đe dọa, thể hiện khả năng phục hồi điển hình của họ, cho đến nay dường như không bị nản lòng bởi động thái này, đánh dấu “một trong những thay đổi bối cảnh về mối đe dọa qua email lớn nhất trong lịch sử gần đây”, các nhà nghiên cứu Selena Larson, Daniel Blackford và những người khác trong Nhóm Nghiên cứu Mối đe dọa Proofpoint, cho biết trong một bài đăng.
Mặc dù tội phạm mạng hiện vẫn tiếp tục sử dụng macro trong các tài liệu độc hại được sử dụng trong các chiến dịch lừa đảo, nhưng chúng cũng đã bắt đầu xoay quanh chiến lược phòng thủ của Microsoft bằng cách chuyển sang các loại tệp khác làm nơi chứa phần mềm độc hại — cụ thể là các tệp chứa như tệp đính kèm ISO và RAR cũng như Họ cho biết các tệp Windows Shortcut (LNK).
Thật vậy, trong cùng một khung thời gian tám tháng, trong đó việc sử dụng các tài liệu hỗ trợ macro giảm xuống, số lượng các chiến dịch độc hại sử dụng các tệp vùng chứa bao gồm tệp đính kèm ISO, RAR và LNK đã tăng gần 175%, các nhà nghiên cứu nhận thấy.
Họ lưu ý: “Có khả năng các tác nhân đe dọa sẽ tiếp tục sử dụng các định dạng tệp vùng chứa để phân phối phần mềm độc hại, đồng thời dựa ít hơn vào các tệp đính kèm hỗ trợ macro”.
Macro Không còn nữa?
Macro, được sử dụng để tự động hóa các tác vụ được sử dụng thường xuyên trong Office, là một trong những những cách phổ biến để gửi phần mềm độc hại trong các tệp đính kèm email độc hại ít nhất phần tốt hơn của một thập kỷ, vì chúng có thể được cho phép chỉ bằng một cú nhấp chuột đơn giản vào phần của người dùng khi được nhắc.
Macro từ lâu đã bị tắt theo mặc định trong Office, mặc dù người dùng luôn có thể bật chúng — điều này đã cho phép các tác nhân đe dọa vũ khí hóa cả macro VBA, có thể tự động chạy nội dung độc hại khi bật macro trong ứng dụng Office, cũng như macro XL4 dành riêng cho Excel . Điển hình là các diễn viên sử dụng thiết kế xã hội chiến dịch lừa đảo để thuyết phục nạn nhân về sự cấp thiết phải bật macro để họ có thể mở những gì họ không biết là tệp đính kèm độc hại.
Các nhà nghiên cứu của Proofpoint cho biết, trong khi động thái chặn hoàn toàn các macro của Microsoft cho đến nay vẫn chưa ngăn cản được các tác nhân đe dọa sử dụng chúng hoàn toàn, nhưng nó đã thúc đẩy sự thay đổi đáng chú ý này sang các chiến thuật khác.
Chìa khóa của sự thay đổi này là các chiến thuật để vượt qua phương pháp của Microsoft để chặn macro VBA dựa trên thuộc tính Mark of the Web (MOTW) cho biết liệu một tệp có đến từ internet được gọi là Zone.Identifier hay không, các nhà nghiên cứu lưu ý.
“Các ứng dụng của Microsoft thêm điều này vào một số tài liệu khi chúng được tải xuống từ web,” họ viết. “Tuy nhiên, có thể bỏ qua MOTW bằng cách sử dụng các định dạng tệp vùng chứa.”
Thật vậy, công ty bảo mật CNTT Outflank thuận tiện chi tiết nhiều lựa chọn dành cho các tin tặc có đạo đức chuyên về mô phỏng tấn công — được gọi là “nhóm đỏ” – để vượt qua các cơ chế MOTW, theo Proofpoint. Các nhà nghiên cứu cho biết bài đăng dường như không bị các tác nhân đe dọa chú ý, vì họ cũng đã bắt đầu triển khai các chiến thuật này, các nhà nghiên cứu cho biết.
Định dạng tệp Switcheroo
Các nhà nghiên cứu cho biết, để vượt qua việc chặn macro, những kẻ tấn công ngày càng sử dụng các định dạng tệp như ISO (.iso), RAR (.rar), ZIP (.zip) và IMG (.img) để gửi các tài liệu hỗ trợ macro. Điều này là do mặc dù bản thân các tệp sẽ có thuộc tính MOTW, nhưng tài liệu bên trong, chẳng hạn như bảng tính hỗ trợ macro, sẽ không, các nhà nghiên cứu lưu ý.
“Khi tài liệu được giải nén, người dùng sẽ vẫn phải bật macro để mã độc tự động thực thi, nhưng hệ thống tệp sẽ không xác định tài liệu đến từ web,” họ viết trong bài đăng.
Ngoài ra, các tác nhân đe dọa có thể sử dụng tệp vùng chứa để phân phối tải trọng trực tiếp bằng cách thêm nội dung bổ sung như LNK, DLL, hoặc các tệp thực thi (.exe) có thể được sử dụng để thực thi tải trọng độc hại, các nhà nghiên cứu cho biết.
Proofpoint cũng đã chứng kiến sự gia tăng nhẹ trong việc lạm dụng tệp XLL — một loại tệp thư viện liên kết động (DLL) cho Excel — trong các chiến dịch độc hại, mặc dù sự gia tăng không đáng kể như việc sử dụng tệp ISO, RAR và LNK , họ lưu ý.
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
- PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
- nguồn: https://threatpost.com/threat-pivot-microsofts-macro/180319/
- : có
- :là
- :không phải
- $ LÊN
- 2021
- 2022
- 50
- 66
- 700
- a
- Giới thiệu
- lạm dụng
- Theo
- ngang qua
- diễn viên
- thêm vào
- thêm
- thêm vào
- cho phép
- Ngoài ra
- thay thế
- Mặc dù
- luôn luôn
- trong số
- an
- và
- xuất hiện
- các ứng dụng
- ứng dụng
- LÀ
- xung quanh
- AS
- At
- tấn công
- nỗ lực
- tự động
- tự động hóa
- dựa
- BE
- bởi vì
- được
- Bắt đầu
- đã bắt đầu
- được
- Hơn
- giữa
- Chặn
- ngăn chặn
- Blog
- cả hai
- nhưng
- by
- Chiến dịch
- CAN
- Kênh
- mã
- trùng hợp
- đến
- đến
- công ty
- Của công ty
- Container
- nội dung
- tiếp tục
- thuyết phục
- có thể
- Cắt
- tội phạm mạng
- Daniel
- dữ liệu
- giảm
- giảm
- Mặc định
- Phòng thủ
- cung cấp
- giao hàng
- thể hiện
- triển khai
- trực tiếp
- bị vô hiệu hóa
- phân phát
- tài liệu
- tài liệu
- làm
- dont
- năng động
- cho phép
- kích hoạt
- hoàn toàn
- đạo đức
- Excel
- thi hành
- xa
- Tập tin
- Các tập tin
- tìm kiếm
- sau
- Trong
- tìm thấy
- FRAME
- thường xuyên
- từ
- được
- đi
- tin tặc
- Có
- lịch sử
- chủ nhà
- HTTPS
- định danh
- xác định
- in
- Bao gồm
- Tăng lên
- tăng
- lên
- thông tin
- trong
- Internet
- ISO
- IT
- nó bảo mật
- ITS
- tháng sáu
- Biết
- nổi tiếng
- cảnh quan
- lớn nhất
- ít nhất
- ít
- tận dụng
- Thư viện
- Có khả năng
- LINK
- dài
- macro
- phần mềm độc hại
- dấu
- max-width
- cơ chế
- phương pháp
- chi tiết
- hầu hết
- di chuyển
- nhiều
- gần
- Mới
- Đăng ký bản tin
- Không
- Nổi bật
- lưu ý
- tại
- con số
- Tháng Mười
- of
- off
- Office
- on
- mở
- Các lựa chọn
- or
- Nền tảng khác
- Khác
- tổng quan
- một phần
- phần trăm
- Lừa đảo
- Trục
- kế hoạch
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- Phổ biến
- Bài đăng
- chính
- gần đây
- dựa vào
- nghiên cứu
- nhà nghiên cứu
- khả năng phục hồi
- Tiết lộ
- chạy
- Nói
- tương tự
- an ninh
- hình như
- đã xem
- gửi
- thay đổi
- Thay đổi
- Chương trình
- có ý nghĩa
- Đơn giản
- duy nhất
- So
- cho đến nay
- một số
- chuyên
- Bảng tính
- Bắt đầu
- Vẫn còn
- Chiến lược
- như vậy
- bộ
- hệ thống
- chiến thuật
- nhiệm vụ
- nhóm
- việc này
- Sản phẩm
- cung cấp their dịch
- Them
- tự
- Kia là
- họ
- điều này
- năm nay
- Tuy nhiên?
- mối đe dọa
- diễn viên đe dọa
- Thứ năm
- thời gian
- đến
- XOAY
- Quay
- kiểu
- loại
- điển hình
- thường
- khẩn cấp
- sử dụng
- đã sử dụng
- người sử dang
- Người sử dụng
- sử dụng
- VBA
- tàu
- nạn nhân
- Đường..
- web
- TỐT
- Điều gì
- khi nào
- liệu
- cái nào
- trong khi
- sẽ
- cửa sổ
- với
- đã viết
- năm
- zephyrnet
- Zip
