Ključni izsledki
- Odločitev Microsofta, da blokira makre, bo akterje groženj oropala tega priljubljenega sredstva za razširjanje zlonamerne programske opreme.
- Vendar pa raziskovalci ugotavljajo, da so kiberkriminalci v nedavnih kampanjah zlonamerne programske opreme že spremenili pristope in znatno zmanjšali uporabo makrov.
- Blokiranje makrov je korak v pravo smer, vendar morajo biti ljudje na koncu dneva bolj pozorni, da se izognejo okužbi, predlagajo strokovnjaki.
Medtem ko se je Microsoft odločil, da bo privzeto blokiral makre v Microsoft Officeu, so akterji groženj hitro zaobšli to omejitev in oblikovali nove vektorje napadov.
Glede na novo raziskavo ponudnika varnosti Proofpoint makri niso več priljubljeno sredstvo za razširjanje zlonamerne programske opreme. Uporaba običajnih makrov se je med oktobrom 2021 in junijem 2022 zmanjšala za približno 66 %. Po drugi strani pa je uporaba datotek ISO (slika diska) zabeležila povečanje za več kot 150 %, medtem ko je uporaba LNK (Bližnjica do datoteke Windows) datotek se je v istem časovnem okviru povečalo za osupljivih 1675 %. Te vrste datotek lahko obidejo Microsoftovo zaščito pred blokiranjem makrov.
»Udeleženci groženj, ki se odmikajo od neposredne distribucije prilog na osnovi makrov v e-pošti, predstavljajo pomemben premik v krajini groženj,« je v sporočilu za javnost dejal Sherrod DeGrippo, podpredsednik, raziskave in odkrivanje groženj pri Proofpointu. "Akterji groženj zdaj sprejemajo nove taktike za dostavo zlonamerne programske opreme in pričakuje se, da se bo povečala uporaba datotek, kot so ISO, LNK in RAR."
V koraku s časom
V izmenjavi e-pošte z Lifewire je Harman Singh, direktor pri ponudniku storitev kibernetske varnosti Cyphere, makre opisal kot majhne programe, ki jih je mogoče uporabiti za avtomatizacijo opravil v Microsoft Officeu, pri čemer sta makra XL4 in VBA najpogosteje uporabljena makra Uporabniki Officea.
Z vidika kibernetske kriminalitete je Singh dejal, da lahko akterji groženj uporabijo makre za nekaj precej grdih napadalnih kampanj. Na primer, makri lahko izvajajo zlonamerne vrstice kode na računalniku žrtve z enakimi privilegiji kot prijavljena oseba. Akterji groženj lahko ta dostop zlorabijo za izločanje podatkov iz ogroženega računalnika ali celo zagrabijo dodatno zlonamerno vsebino iz strežnikov zlonamerne programske opreme, da potegnejo še bolj škodljivo zlonamerno programsko opremo.
Vendar je Singh hitro dodal, da Office ni edini način za okužbo računalniških sistemov, ampak "je ena najbolj priljubljenih [tarč] zaradi uporabe Officeovih dokumentov s strani skoraj vseh na internetu."
Da bi zavladal grožnji, je Microsoft začel označevati nekatere dokumente z nezaupljivih lokacij, kot je internet, z atributom Mark of the Web (MOTW), nizom kode, ki označuje sprožilce varnostnih funkcij.
Proofpoint v svoji raziskavi trdi, da je zmanjšanje uporabe makrov neposreden odgovor na Microsoftovo odločitev, da datotekam označi atribut MOTW.
Singh ni presenečen. Pojasnil je, da se stisnjeni arhivi, kot so datoteke ISO in RAR, ne zanašajo na Office in lahko sami izvajajo zlonamerno kodo. "Očitno je, da je spreminjanje taktike del strategije kibernetskih kriminalcev, da zagotovijo, da se potrudijo pri najboljši metodi napada, ki ima največjo verjetnost [okužbe ljudi]."
Vsebuje zlonamerno programsko opremo
Vdelava zlonamerne programske opreme v stisnjene datoteke, kot so datoteke ISO in RAR, pomaga tudi pri izogibanju tehnikam zaznavanja, ki se osredotočajo na analizo strukture ali formata datotek, je pojasnil Singh. "Na primer, veliko zaznav za datoteke ISO in RAR temelji na podpisih datotek, ki jih je mogoče enostavno odstraniti s stiskanjem datoteke ISO ali RAR z drugo metodo stiskanja."
Glede na Proofpoint, tako kot zlonamerni makri pred njimi, je najbolj priljubljen način prenosa teh z zlonamerno programsko opremo polnih arhivov prek e-pošte.
Proofpointova raziskava temelji na sledenju dejavnostim različnih razvpitih akterjev groženj. Opazil je uporabo novih začetnih mehanizmov dostopa, ki jih uporabljajo skupine, ki distribuirajo zlonamerno programsko opremo Bumblebee in Emotet, ter več drugih kiberkriminalcev za vse vrste zlonamerne programske opreme.
»Več kot polovica od 15 sledinih akterjev groženj, ki so uporabljali datoteke ISO [med oktobrom 2021 in junijem 2022], jih je začela uporabljati v kampanjah po januarju 2022, « je poudaril Proofpoint.
Da bi okrepili svojo obrambo pred temi spremembami v taktikah akterjev groženj, Singh ljudem predlaga, naj bodo previdni pri nezaželeni e-pošti. Ljudi tudi svari pred klikanjem povezav in odpiranjem priponk, razen če so nedvomno prepričani, da so te datoteke varne.
"Ne zaupajte nobenim virom, razen če pričakujete sporočilo s priponko," je ponovil Singh. "Zaupajte, vendar preverite, na primer pokličite stik, preden [odprete prilogo], da preverite, ali gre res za pomembno e-pošto vašega prijatelja ali za zlonamerno iz njihovih ogroženih računov."
