Key takeaways
- Microsofts beslutning om at blokere makroer vil frarøve trusselsaktører dette populære middel til at distribuere malware.
- Forskere bemærker imidlertid, at cyberkriminelle allerede har ændret greb og reduceret brugen af makroer betydeligt i de seneste malware-kampagner.
- Blokering af makroer er et skridt i den rigtige retning, men i slutningen af dagen skal folk være mere på vagt for at undgå at blive smittet, foreslår eksperter.
Mens Microsoft tog sin egen tid til at beslutte at blokere makroer som standard i Microsoft Office, var trusselsaktører hurtige til at omgå denne begrænsning og udtænke nye angrebsvektorer.
Ifølge ny forskning fra sikkerhedsleverandøren Proofpoint er makroer ikke længere det foretrukne middel til at distribuere malware. Brugen af almindelige makroer faldt med cirka 66 % mellem oktober 2021 og juni 2022. På den anden side registrerede brugen af ISO-filer (et diskbillede) en stigning på over 150 %, mens brugen af LNK (Windows File Shortcut) filer steg svimlende 1.675 % i samme tidsramme. Disse filtyper kan omgå Microsofts makroblokeringsbeskyttelse.
"Trusselsaktører, der pivoterer væk fra direkte distribution af makrobaserede vedhæftede filer i e-mail, repræsenterer et væsentligt skift i trusselslandskabet," sagde Sherrod DeGrippo, Vice President, Threat Research and Detection hos Proofpoint, i en pressemeddelelse. "Trusselsaktører vedtager nu nye taktikker for at levere malware, og den øgede brug af filer såsom ISO, LNK og RAR forventes at fortsætte."
Bevæger sig med tiden
I en e-mail-udveksling med Lifewire beskrev Harman Singh, direktør hos cybersikkerhedstjenesteudbyderen Cyphere, makroer som små programmer, der kan bruges til at automatisere opgaver i Microsoft Office, hvor XL4- og VBA-makroer er de mest almindeligt anvendte makroer af Office-brugere.
Fra et cyberkriminalitetsperspektiv sagde Singh, at trusselsaktører kan bruge makroer til nogle ret grimme angrebskampagner. For eksempel kan makroer udføre ondsindede kodelinjer på et offers computer med de samme privilegier som den loggede ind. Trusselaktører kan misbruge denne adgang til at eksfiltrere data fra en kompromitteret computer eller endda få fat i yderligere ondsindet indhold fra malwarens servere for at trække endnu mere skadelig malware ind.
Singh var imidlertid hurtig til at tilføje, at Office ikke er den eneste måde at inficere computersystemer på, men "det er et af de mest populære [mål] på grund af næsten alle på internettets brug af Office-dokumenter."
For at regere i truslen begyndte Microsoft at mærke nogle dokumenter fra steder, der ikke er tillid til, såsom internettet, med attributten Mark of the Web (MOTW), en kodestreng, der angiver udløser sikkerhedsfunktioner.
I deres forskning hævder Proofpoint, at faldet i brugen af makroer er en direkte reaktion på Microsofts beslutning om at tagge MOTW-attributten til filer.
Singh er ikke overrasket. Han forklarede, at komprimerede arkiver som ISO- og RAR-filer ikke er afhængige af Office og kan køre skadelig kode på egen hånd. "Det er indlysende, at ændring af taktik er en del af cyberkriminelles strategi for at sikre, at de sætter deres indsats på den bedste angrebsmetode, der har størst sandsynlighed for at [inficere folk]."
Indeholder malware
Indlejring af malware i komprimerede filer som ISO- og RAR-filer hjælper også med at undgå registreringsteknikker, der fokuserer på at analysere strukturen eller formatet af filer, forklarede Singh. "F.eks. er mange registreringer af ISO- og RAR-filer baseret på filsignaturer, som nemt kan fjernes ved at komprimere en ISO- eller RAR-fil med en anden komprimeringsmetode."
Ifølge Proofpoint, ligesom de ondsindede makroer foran dem, er den mest populære måde at sende disse malware-fyldte arkiver på via e-mail.
Proofpoints forskning er baseret på sporing af forskellige berygtede trusselsaktørers aktiviteter. Den observerede brugen af de nye indledende adgangsmekanismer, der blev brugt af grupper, der distribuerer Bumblebee, og Emotet-malwaren, såvel som af flere andre cyberkriminelle, til alle former for malware.
"Mere end halvdelen af de 15 sporede trusselsaktører, der brugte ISO-filer [mellem oktober 2021 og juni 2022], begyndte at bruge dem i kampagner efter januar 2022," fremhævede Proofpoint.
For at styrke dit forsvar mod disse ændringer i trusselsaktørernes taktik, foreslår Singh, at folk skal være på vagt over for uopfordrede e-mails. Han advarer også folk mod at klikke på links og åbne vedhæftede filer, medmindre de er sikre på, at disse filer er sikre.
"Stol ikke på nogen kilder, medmindre du forventer en besked med en vedhæftet fil," gentog Singh. "Stol på, men bekræft, for eksempel, ring til kontakten før [åbner en vedhæftet fil] for at se, om det virkelig er en vigtig e-mail fra din ven eller en ondsindet en fra deres kompromitterede konti."
