Key Takeaways
- Microsoftova odluka da blokira makroe lišit će pretnje akterima ovog popularnog sredstva za distribuciju zlonamjernog softvera.
- Međutim, istraživači primjećuju da su sajber kriminalci već promijenili pristup i značajno smanjili korištenje makroa u nedavnim kampanjama zlonamjernog softvera.
- Blokiranje makroa je korak u pravom smjeru, ali na kraju dana, ljudi moraju biti oprezniji kako bi izbjegli zarazu, predlažu stručnjaci.
Dok je Microsoft odvojio svoje slatko vrijeme odlučivši da blokira makroe prema zadanim postavkama u Microsoft Officeu, akteri prijetnji su brzo zaobišli ovo ograničenje i osmislili nove vektore napada.
Prema novom istraživanju dobavljača sigurnosti Proofpoint, makroi više nisu omiljeno sredstvo za distribuciju zlonamjernog softvera. Upotreba uobičajenih makroa smanjena je za otprilike 66% u periodu od oktobra 2021. do juna 2022. S druge strane, upotreba ISO datoteka (slike diska) je zabilježila porast od preko 150%, dok je korištenje LNK (Windows File Shortcut) fajlovi su porasli za neverovatnih 1,675% u istom vremenskom periodu. Ove vrste datoteka mogu zaobići Microsoftovu zaštitu od blokiranja makroa.
"Uklanjanje aktera prijetnji od direktne distribucije makro-baziranih priloga u e-pošti predstavlja značajan pomak u okruženju prijetnji", rekao je Sherrod DeGrippo, potpredsjednik za istraživanje i otkrivanje prijetnji u Proofpointu, u priopćenju za javnost. "Učesnici prijetnji sada usvajaju nove taktike za isporuku zlonamjernog softvera, a očekuje se da će se povećati upotreba datoteka kao što su ISO, LNK i RAR."
Pokret s vremenom
U razmjeni e-pošte sa Lifewireom, Harman Singh, direktor pružatelja usluga kibernetičke sigurnosti Cyphere, opisao je makroe kao male programe koji se mogu koristiti za automatizaciju zadataka u Microsoft Officeu, pri čemu su makroi XL4 i VBA najčešće korišteni makroi od strane Korisnici ureda.
Iz perspektive sajber kriminala, Singh je rekao da akteri prijetnji mogu koristiti makroe za neke prilično gadne napadne kampanje. Na primjer, makroi mogu izvršiti zlonamjerne linije koda na računaru žrtve sa istim privilegijama kao i osoba koja je prijavljena. Akteri prijetnji mogu zloupotrijebiti ovaj pristup kako bi eksfiltrirali podatke sa kompromitovanog računara ili čak ugrabili dodatni zlonamjerni sadržaj sa servera zlonamjernog softvera kako bi uvukli još štetniji zlonamjerni softver.
Međutim, Singh je brzo dodao da Office nije jedini način da se zarazi kompjuterski sistem, ali je „jedan od najpopularnijih [meta] zbog upotrebe Office dokumenata od strane gotovo svih na Internetu."
Da bi vladao prijetnjom, Microsoft je počeo označavati neke dokumente sa nepouzdanih lokacija, poput interneta, atributom Mark of the Web (MOTW), nizom koda koji označava aktiviranje sigurnosnih funkcija.
U svom istraživanju, Proofpoint tvrdi da je smanjenje upotrebe makroa direktan odgovor na Microsoftovu odluku da označi atribut MOTW u fajlovima.
Singh nije iznenađen. Objasnio je da se komprimirane arhive kao što su ISO i RAR datoteke ne oslanjaju na Office i da mogu same pokrenuti zlonamjerni kod. "Očigledno je da je promjena taktike dio strategije sajber kriminalaca kako bi osigurali da ulože napore u najbolju metodu napada koja ima najveću vjerovatnoću [zaraze ljudi]."
Sadrži zlonamjerni softver
Ugrađivanje zlonamjernog softvera u komprimirane datoteke kao što su ISO i RAR datoteke također pomaže da se izbjegnu tehnike detekcije koje se fokusiraju na analizu strukture ili formata datoteka, objasnio je Singh. "Na primjer, mnoge detekcije za ISO i RAR datoteke su zasnovane na potpisima datoteka, koji se mogu lako ukloniti komprimiranjem ISO ili RAR datoteke drugom metodom kompresije."
Prema Proofpoint-u, baš kao i zlonamjerni makroi prije njih, najpopularnije sredstvo prijenosa ovih arhiva krcatih zlonamjernim softverom je putem e-pošte.
Proofpoint-ovo istraživanje je bazirano na praćenju aktivnosti različitih ozloglašenih aktera prijetnji. Uočeno je korištenje novih mehanizama početnog pristupa koje koriste grupe koje distribuiraju Bumblebee i zlonamjerni softver Emotet, kao i nekoliko drugih cyber kriminalaca, za sve vrste zlonamjernog softvera.
"Više od polovine od 15 praćenih aktera prijetnji koji su koristili ISO datoteke [između oktobra 2021. i juna 2022.] počeli su da ih koriste u kampanjama nakon januara 2022.", ističe Proofpoint.
Kako bi ojačao svoju odbranu od ovih promjena u taktici od strane aktera prijetnji, Singh predlaže ljudima da budu oprezni prema neželjenim e-porukama. On također upozorava ljude da ne kliknu na linkove i ne otvaraju priloge osim ako nisu sigurni da su ovi fajlovi sigurni.
"Ne vjerujte nijednom izvoru osim ako ne očekujete poruku s prilogom", ponovio je Singh. „Vjerujte, ali provjerite, na primjer, pozovite kontakt prije [otvaranja priloga] da vidite je li to zaista važna e-poruka od vašeg prijatelja ili zlonamjerna s njihovih kompromitiranih računa."