Ključni podaci za van
- Microsoftova odluka da blokira makronaredbe lišit će aktere prijetnji ovog popularnog sredstva za distribuciju zlonamjernog softvera.
- Međutim, istraživači primjećuju da su kibernetički kriminalci već promijenili metode i značajno smanjili upotrebu makronaredbi u nedavnim kampanjama zlonamjernog softvera.
- Blokiranje makronaredbi je korak u pravom smjeru, ali na kraju krajeva, ljudi moraju biti oprezniji kako bi izbjegli zarazu, predlažu stručnjaci.
Dok je Microsoft uzeo svoje vrijeme odlučujući blokirati makronaredbe prema zadanim postavkama u Microsoft Officeu, akteri prijetnji brzo su zaobišli ovo ograničenje i osmislili nove vektore napada.
Prema novom istraživanju dobavljača sigurnosti Proofpoint, makronaredbe više nisu omiljeno sredstvo za distribuciju zlonamjernog softvera. Korištenje uobičajenih makronaredbi smanjilo se za približno 66% između listopada 2021. i lipnja 2022. S druge strane, korištenje ISO datoteka (slike diska) bilježi porast od preko 150%, dok je korištenje LNK (Windows File Shortcut) datoteka povećao se za nevjerojatnih 1,675% u istom vremenskom okviru. Ove vrste datoteka mogu zaobići Microsoftovu zaštitu od blokiranja makronaredbi.
"Akteri prijetnji koji se udaljavaju od izravne distribucije privitaka temeljenih na makroima u e-pošti predstavljaju značajan pomak u krajoliku prijetnji", rekao je Sherrod DeGrippo, potpredsjednik, istraživanje i otkrivanje prijetnji u Proofpointu, u priopćenju za javnost. "Akteri prijetnji sada usvajaju nove taktike za isporuku zlonamjernog softvera, a očekuje se nastavak povećane upotrebe datoteka kao što su ISO, LNK i RAR."
U korak s vremenom
U razmjeni e-pošte s Lifewireom, Harman Singh, direktor u pružatelju usluga kibernetičke sigurnosti Cyphere, opisao je makronaredbe kao male programe koji se mogu koristiti za automatizaciju zadataka u Microsoft Officeu, pri čemu su XL4 i VBA makronaredbe najčešće korištene makronaredbe Office korisnici.
Iz perspektive kibernetičkog kriminala, Singh je rekao da akteri prijetnji mogu koristiti makronaredbe za neke prilično gadne kampanje napada. Na primjer, makronaredbe mogu izvršiti zlonamjerne retke koda na žrtvinom računalu s istim privilegijama kao i prijavljena osoba. Akteri prijetnji mogu zlorabiti ovaj pristup kako bi izvukli podatke iz kompromitiranog računala ili čak zgrabili dodatni zlonamjerni sadržaj s poslužitelja zlonamjernog softvera kako bi uvukli još štetniji zlonamjerni softver.
Međutim, Singh je brzo dodao da Office nije jedini način za zarazu računalnih sustava, ali "jedan od najpopularnijih [meta] zbog upotrebe Office dokumenata od strane gotovo svih na Internetu."
Kako bi vladao prijetnjom, Microsoft je počeo označavati neke dokumente s nepouzdanih lokacija, poput interneta, atributom Mark of the Web (MOTW), nizom koda koji označava aktiviranje sigurnosnih značajki.
U svom istraživanju, Proofpoint tvrdi da je smanjenje upotrebe makronaredbi izravan odgovor na Microsoftovu odluku da označi datoteke MOTW atributom.
Singh nije iznenađen. Objasnio je da se komprimirane arhive poput ISO i RAR datoteka ne oslanjaju na Office i mogu same pokrenuti zlonamjerni kod. "Očito je da je promjena taktike dio strategije kibernetičkih kriminalaca kako bi se osiguralo da ulože svoj trud na najbolju metodu napada koja ima najveću vjerojatnost [zaraze ljudi]."
Sadrži zlonamjerni softver
Ugrađivanje zlonamjernog softvera u komprimirane datoteke kao što su ISO i RAR datoteke također pomaže u izbjegavanju tehnika otkrivanja koje su usmjerene na analizu strukture ili formata datoteka, objasnio je Singh. "Na primjer, mnoge detekcije za ISO i RAR datoteke temelje se na potpisima datoteka, koji se mogu lako ukloniti komprimiranjem ISO ili RAR datoteke drugom metodom kompresije."
Prema Proofpointu, baš kao i zlonamjernim makroima prije njih, najpopularniji način prijenosa ovih arhiva krcatih zlonamjernim softverom je putem e-pošte.
Proofpointovo istraživanje temelji se na aktivnostima praćenja raznih ozloglašenih aktera prijetnji. Promatrao je upotrebu novih početnih mehanizama pristupa koje koriste skupine koje distribuiraju zlonamjerni softver Bumblebee i Emotet, kao i nekoliko drugih kibernetičkih kriminalaca, za sve vrste zlonamjernog softvera.
"Više od polovice od 15 praćenih aktera prijetnji koji su koristili ISO datoteke [između listopada 2021. i lipnja 2022.] počeli su ih koristiti u kampanjama nakon siječnja 2022., " istaknuo je Proofpoint.
Kako biste ojačali svoju obranu od ovih promjena u taktici aktera prijetnji, Singh predlaže ljudima da budu oprezni s neželjenom e-poštom. On također upozorava ljude da ne klikaju veze i otvaraju privitke osim ako nisu bez sumnje sigurni da su te datoteke sigurne.
"Ne vjerujte nikakvim izvorima osim ako ne očekujete poruku s privitkom", ponovio je Singh. "Vjerujte, ali provjerite, na primjer, nazovite kontakt prije nego što [otvorite privitak] da vidite radi li se stvarno o važnoj e-poruci od vašeg prijatelja ili o zlonamjernoj e-poruci s njihovih ugroženih računa."