Ключевые выводы
- Решение Microsoft заблокировать макросы лишит злоумышленников этого популярного средства распространения вредоносных программ.
- Однако исследователи отмечают, что киберпреступники уже изменили тактику и значительно сократили использование макросов в недавних вредоносных кампаниях.
- Блокировка макросов - это шаг в правильном направлении, но, в конце концов, люди должны быть более бдительными, чтобы не заразиться, считают эксперты.
В то время как Microsoft не торопилась, решая блокировать макросы по умолчанию в Microsoft Office, злоумышленники быстро обошли это ограничение и разработали новые векторы атак.
Согласно новому исследованию Proofpoint, поставщика систем безопасности, макросы больше не являются излюбленным средством распространения вредоносных программ. Использование обычных макросов сократилось примерно на 66 % в период с октября 2021 года по июнь 2022 года. С другой стороны, использование файлов ISO (образа диска) увеличилось более чем на 150%, а использование LNK (ярлык файла Windows) файлов увеличилось на ошеломляющие 1675% за тот же период времени. Эти типы файлов могут обойти защиту Microsoft от блокировки макросов.
«То, что субъекты угроз отказываются от прямого распространения вложений на основе макросов в электронной почте, представляет собой значительный сдвиг в ландшафте угроз», - заявил в пресс-релизе Шеррод ДеГриппо, вице-президент по исследованию и обнаружению угроз в Proofpoint. «В настоящее время злоумышленники применяют новые тактики для доставки вредоносных программ, и ожидается, что более широкое использование таких файлов, как ISO, LNK и RAR, продолжится».
В ногу со временем
В переписке с Lifewire Харман Сингх, директор поставщика услуг кибербезопасности Cyphere, описал макросы как небольшие программы, которые можно использовать для автоматизации задач в Microsoft Office, при этом макросы XL4 и VBA являются наиболее часто используемыми макросами. Пользователи Office.
С точки зрения киберпреступности, Сингх сказал, что злоумышленники могут использовать макросы для некоторых довольно неприятных атак. Например, макросы могут выполнять вредоносные строки кода на компьютере жертвы с теми же привилегиями, что и человек, вошедший в систему. Злоумышленники могут злоупотреблять этим доступом для извлечения данных со взломанного компьютера или даже для захвата дополнительного вредоносного контента с серверов вредоносного ПО, чтобы получить еще более разрушительное вредоносное ПО.
Однако Сингх быстро добавил, что Office - не единственный способ заражения компьютерных систем, но «это одна из самых популярных [целей] из-за использования документов Office почти всеми в Интернете."
Чтобы справиться с угрозой, Microsoft начала помечать некоторые документы из ненадежных источников, таких как Интернет, с помощью атрибута Mark of the Web (MOTW) - строки кода, обозначающей триггеры функций безопасности.
В своем исследовании Proofpoint утверждает, что сокращение использования макросов является прямым ответом на решение Microsoft пометить файлы атрибутом MOTW.
Сингх не удивлен. Он объяснил, что сжатые архивы, такие как файлы ISO и RAR, не зависят от Office и могут запускать вредоносный код самостоятельно. «Очевидно, что изменение тактики является частью стратегии киберпреступников, чтобы убедиться, что они используют лучший метод атаки, который имеет наибольшую вероятность [заразить людей]».
Содержит вредоносное ПО
Встраивание вредоносных программ в сжатые файлы, такие как файлы ISO и RAR, также помогает обойти методы обнаружения, которые сосредоточены на анализе структуры или формата файлов, пояснил Сингх. «Например, многие обнаружения для файлов ISO и RAR основаны на сигнатурах файлов, которые можно легко удалить, сжав файл ISO или RAR другим методом сжатия».
Согласно Proofpoint, как и вредоносные макросы до них, наиболее популярным способом пересылки этих загруженных вредоносным ПО архивов является электронная почта.
Исследование Proofpoint основано на отслеживании действий различных известных злоумышленников. Было отмечено использование новых механизмов начального доступа, используемых группами, распространяющими Bumblebee и вредоносное ПО Emotet, а также некоторыми другими киберпреступниками для всех видов вредоносных программ.
«Более половины из 15 отслеживаемых субъектов угроз, которые использовали файлы ISO [в период с октября 2021 года по июнь 2022 года], начали использовать их в кампаниях после января 2022 года», - подчеркивает Proofpoint.
Чтобы укрепить вашу защиту от этих изменений в тактике злоумышленников, Сингх предлагает людям опасаться нежелательных электронных писем. Он также предостерегает людей от перехода по ссылкам и открытия вложений, если они не уверены в безопасности этих файлов.
«Не доверяйте никаким источникам, если вы не ожидаете сообщения с вложением», - повторил Сингх. «Доверяй, но проверяй, например, позвони контакту перед [открытием вложения], чтобы узнать, действительно ли это важное электронное письмо от твоего друга или вредоносное письмо от его скомпрометированных учетных записей."