Kulcs elvitelek
- A Microsoft makrók blokkolására vonatkozó döntése megfosztja a fenyegető szereplőktől a rosszindulatú programok terjesztésének ezt a népszerű eszközét.
- A kutatók azonban megjegyzik, hogy a kiberbűnözők már változtattak módszereiken, és jelentősen csökkentették a makrók használatát a legutóbbi rosszindulatú programok során.
- A makrók blokkolása egy lépés a helyes irányba, de a nap végén az embereknek éberebbnek kell lenniük, hogy elkerüljék a fertőzést – javasolják a szakértők.
Míg a Microsoft elszánta magát, és úgy döntött, hogy alapértelmezés szerint blokkolja a makrókat a Microsoft Office-ban, a fenyegetések szereplői gyorsan megkerülték ezt a korlátozást, és új támadási vektorokat dolgoztak ki.
A Proofpoint biztonsági gyártó új kutatása szerint a makrók már nem a rosszindulatú programok terjesztésének kedvenc eszközei. A gyakori makrók használata körülbelül 66%-kal csökkent 2021 októbere és 2022 júniusa között. Másrészt az ISO fájlok (lemezkép) használata 150% feletti növekedést regisztrált, míg az LNK (Windows File Shortcut) használata. A fájlok száma megdöbbentően 1,675%-kal nőtt ugyanebben az időkeretben. Ezek a fájltípusok megkerülhetik a Microsoft makróblokkoló védelmét.
"A makróalapú mellékletek e-mailekben történő közvetlen terjesztésétől való elszakadása a fenyegetés szereplőinek jelentős változást jelent a fenyegetettségi környezetben" - mondta Sherrod DeGrippo, a Proofpoint fenyegetések kutatásáért és észleléséért felelős alelnöke egy sajtóközleményben. "A fenyegetés szereplői most új taktikákat alkalmaznak a rosszindulatú programok terjesztésére, és az olyan fájlok, mint az ISO, az LNK és a RAR használata várhatóan folytatódni fog."
Mozgás az idővel
A Lifewire-rel folytatott e-mail üzenetváltásban Harman Singh, a Cyphere kiberbiztonsági szolgáltató igazgatója a makrókat kis programoknak nevezte, amelyekkel automatizálhatók a feladatok a Microsoft Office-ban, és az XL4 és VBA makrók a leggyakrabban használt makrók. Irodai felhasználók.
A kiberbűnözés szempontjából Singh azt mondta, hogy a fenyegetés szereplői makrókat használhatnak elég csúnya támadási kampányokhoz. Például a makrók rosszindulatú kódsorokat futtathatnak az áldozat számítógépén a bejelentkezett személyével megegyező jogosultságokkal. A fenyegetés szereplői visszaélhetnek ezzel a hozzáféréssel, hogy kiszűrjék az adatokat egy feltört számítógépről, vagy akár további rosszindulatú tartalmat is megragadjanak a rosszindulatú program szervereiről, hogy még több kártékony programot vonjanak be.
Singh azonban gyorsan hozzátette, hogy az Office nem az egyetlen módja a számítógépes rendszerek megfertőzésének, de „az egyik legnépszerűbb [célpont], mivel szinte mindenki az Interneten használja az Office-dokumentumokat."
A fenyegetés uralkodása érdekében a Microsoft elkezdett címkézni néhány nem megbízható helyről, például az internetről származó dokumentumot a Mark of the Web (MOTW) attribútummal, amely egy kódsor, amely a biztonsági funkciókat jelöli ki.
Kutatásában a Proofpoint azt állítja, hogy a makrók használatának csökkenése közvetlen válasz a Microsoft azon döntésére, hogy a MOTW attribútumot fájlokhoz címkézi.
Singh nem lepődik meg. Kifejtette, hogy az olyan tömörített archívumok, mint az ISO- és RAR-fájlok, nem támaszkodnak az Office-ra, és önmagukban is futtathatnak rosszindulatú kódokat. "Nyilvánvaló, hogy a taktika megváltoztatása a kiberbűnözők stratégiájának részét képezi annak biztosítására, hogy erőfeszítéseket tegyenek a legjobb támadási módszerre, amely a legnagyobb valószínűséggel [megfertőzi az embereket]."
Rosszindulatú programot tartalmaz
A rosszindulatú programok tömörített fájlokba, például ISO- és RAR-fájlokba ágyazása segít elkerülni azokat az észlelési technikákat, amelyek a fájlok szerkezetének vagy formátumának elemzésére összpontosítanak, magyarázta Singh. "Például az ISO- és RAR-fájlok számos észlelése fájlaláírásokon alapul, amelyek könnyen eltávolíthatók egy ISO- vagy RAR-fájl más tömörítési módszerrel történő tömörítésével."
A Proofpoint szerint az előttük lévő rosszindulatú makrókhoz hasonlóan a rosszindulatú programokkal teli archívumok továbbításának legnépszerűbb módja az e-mail.
A Proofpoint kutatása különböző hírhedt fenyegetés szereplőinek nyomon követésén alapul. Megfigyelte az új kezdeti hozzáférési mechanizmusok használatát, amelyeket a Bumblebee és az Emotet rosszindulatú programokat terjesztő csoportok, valamint számos más kiberbűnözők használnak mindenféle rosszindulatú programhoz.
"A 15 nyomon követett fenyegetés szereplőjének több mint fele, akik ISO-fájlokat használtak [2021 októbere és 2022 júniusa között], 2022 januárja után kezdte használni ezeket a kampányokban" - emelte ki a Proofpoint.
Singh azt javasolja, hogy az emberek vigyázzanak a kéretlen e-mailekkel szemben, hogy megerősítsék védelmét a fenyegetés szereplői által a taktika változásai ellen. Arra is figyelmezteti az embereket, hogy ne kattintsanak linkekre és ne nyissanak meg mellékleteket, hacsak nem biztosak abban, hogy ezek a fájlok biztonságosak.
"Ne bízzon egyetlen forrásban sem, hacsak nem egy melléklettel ellátott üzenetet vár" - ismételte Singh. "Bízzon benne, de ellenőrizze például, hogy [melléklet megnyitása] előtt hívja fel a kapcsolattartót, hogy megtudja, valóban egy fontos e-mail-e a barátjától, vagy egy rosszindulatú e-mail a feltört fiókjából."
