Klíčové poznatky
- Rozhodnutí Microsoftu blokovat makra připraví aktéry hrozeb o tento oblíbený způsob distribuce malwaru.
- Vědci však upozorňují, že kyberzločinci již v nedávných malwarových kampaních změnili přístup a výrazně omezili používání maker.
- Blokování maker je krok správným směrem, ale na konci dne musí být lidé ostražitější, aby se nenakazili, navrhují odborníci.
Zatímco Microsoft se rozhodl zablokovat makra v sadě Microsoft Office ve výchozím nastavení, aktéři hrozeb rychle obešli toto omezení a navrhli nové vektory útoků.
Podle nového výzkumu dodavatele zabezpečení Proofpoint již nejsou makra oblíbeným prostředkem distribuce malwaru. Používání běžných maker se mezi říjnem 2021 a červnem 2022 snížilo přibližně o 66 %. Na druhou stranu používání souborů ISO (obraz disku) zaznamenalo nárůst o více než 150 %, zatímco používání LNK (Windows File Shortcut) Počet souborů vzrostl ve stejném časovém rámci o ohromujících 1 675 %. Tyto typy souborů mohou obejít ochranu Microsoft blokující makro.
„Odklon aktérů hrozeb od přímé distribuce makro-založených příloh v e-mailu představuje významný posun v oblasti hrozeb,“uvedl v tiskové zprávě Sherrod DeGrippo, viceprezident pro výzkum a detekci hrozeb společnosti Proofpoint. „Aktoři hrozeb nyní přijímají nové taktiky k šíření malwaru a očekává se, že zvýšené používání souborů jako ISO, LNK a RAR bude pokračovat.“
Pohybujeme se s dobou
V e-mailové výměně s Lifewire popsal Harman Singh, ředitel poskytovatele služeb kybernetické bezpečnosti Cyphere, makra jako malé programy, které lze použít k automatizaci úloh v Microsoft Office, přičemž makra XL4 a VBA jsou nejčastěji používaná makra. Uživatelé Office.
Z hlediska kybernetické kriminality Singh řekl, že aktéři hrozeb mohou používat makra pro některé pěkně ošklivé útočné kampaně. Makra mohou například spustit škodlivé řádky kódu na počítači oběti se stejnými oprávněními, jaké má přihlášená osoba. Aktéři hrozeb mohou tento přístup zneužít k exfiltraci dat z kompromitovaného počítače nebo dokonce k získání dalšího škodlivého obsahu ze serverů malwaru, aby natáhli ještě škodlivější malware.
Singh však rychle dodal, že Office není jediný způsob, jak infikovat počítačové systémy, ale „je to jeden z nejoblíbenějších [cílů] kvůli používání dokumentů Office téměř každým na internetu."
Aby ovládl hrozbu, začal Microsoft označovat některé dokumenty z nedůvěryhodných míst, jako je internet, atributem Mark of the Web (MOTW), což je řetězec kódu, který označuje spouštěcí funkce zabezpečení.
Ve svém výzkumu Proofpoint tvrdí, že pokles používání maker je přímou reakcí na rozhodnutí Microsoftu označit soubory atributem MOTW.
Singh není překvapen. Vysvětlil, že komprimované archivy, jako jsou soubory ISO a RAR, nespoléhají na Office a mohou samy o sobě spustit škodlivý kód. "Je zřejmé, že změna taktiky je součástí strategie kyberzločinců, aby bylo zajištěno, že vynaloží své úsilí na nejlepší způsob útoku, který má nejvyšší pravděpodobnost [nakažení lidí]."
Obsahující malware
Vkládání malwaru do komprimovaných souborů, jako jsou soubory ISO a RAR, také pomáhá vyhnout se technikám detekce, které se zaměřují na analýzu struktury nebo formátu souborů, vysvětlil Singh. "Například mnoho detekcí souborů ISO a RAR je založeno na podpisech souborů, které lze snadno odstranit komprimací souboru ISO nebo RAR jinou metodou komprese."
Podle společnosti Proofpoint, stejně jako škodlivá makra před nimi, nejoblíbenějším způsobem přenosu těchto archivů nabitých malwarem je e-mail.
Výzkum společnosti Proofpoint je založen na sledování aktivit různých notoricky známých aktérů hrozeb. Pozorovalo použití nových počátečních přístupových mechanismů používaných skupinami, které distribuují malware Bumblebee a Emotet, a také několika dalšími kyberzločinci, pro všechny druhy malwaru.
„Více než polovina z 15 sledovaných aktérů hrozeb, kteří používali soubory ISO [mezi říjnem 2021 a červnem 2022], je začala používat v kampaních po lednu 2022,“zdůraznil Proofpoint.
Abychom podpořili vaši obranu proti těmto změnám v taktice aktérů hrozeb, Singh lidem doporučuje, aby si dávali pozor na nevyžádané e-maily. Také varuje lidi před klikáním na odkazy a otevíráním příloh, pokud si nejsou bez pochyby jisti, že tyto soubory jsou bezpečné.
"Nedůvěřujte žádným zdrojům, pokud neočekáváte zprávu s přílohou," zopakoval Singh. „Důvěřujte, ale ověřte, například před [otevřením přílohy] kontaktu zavolejte, abyste zjistili, zda se skutečně jedná o důležitý e-mail od vašeho přítele, nebo o škodlivý e-mail z jejich kompromitovaných účtů."
