Key takeaways
- Microsofts beslut att blockera makron kommer att beröva hotaktörer detta populära sätt att distribuera skadlig programvara.
- Forskare noterar dock att cyberbrottslingar redan har ändrat grepp och avsevärt minskat användningen av makron i de senaste skadliga kampanjerna.
- Blockering av makron är ett steg i rätt riktning, men i slutet av dagen måste folk vara mer vaksamma för att undvika att bli smittade, föreslår experter.
Medan Microsoft tog sin egen tid och bestämde sig för att blockera makron som standard i Microsoft Office, var hotaktörer snabba med att kringgå denna begränsning och utforma nya attackvektorer.
Enligt ny forskning från säkerhetsleverantören Proofpoint är makron inte längre favoritmedlet för att distribuera skadlig programvara. Användningen av vanliga makron minskade med cirka 66 % mellan oktober 2021 och juni 2022. Å andra sidan registrerade användningen av ISO-filer (en skivbild) en ökning med över 150 %, medan användningen av LNK (Windows File Shortcut) filer ökade svindlande 1 675 % under samma tidsram. Dessa filtyper kan kringgå Microsofts makroblockeringsskydd.
"Hotaktörer som svänger bort från att direkt distribuera makrobaserade bilagor i e-post representerar en betydande förändring i hotbilden", säger Sherrod DeGrippo, Vice President, Threat Research and Detection på Proofpoint, i ett pressmeddelande. "Hotaktörer antar nu ny taktik för att leverera skadlig programvara, och den ökade användningen av filer som ISO, LNK och RAR förväntas fortsätta."
Moving With the Times
I ett e-postutbyte med Lifewire beskrev Harman Singh, direktör för cybersäkerhetstjänsteleverantören Cyphere, makron som små program som kan användas för att automatisera uppgifter i Microsoft Office, med XL4- och VBA-makron som de mest använda makron av Office-användare.
Ur ett cyberbrottsperspektiv sa Singh att hotaktörer kan använda makron för några ganska otäcka attackkampanjer. Till exempel kan makron köra skadliga kodrader på ett offers dator med samma privilegier som den inloggade personen. Hotaktörer kan missbruka denna åtkomst för att exfiltrera data från en komprometterad dator eller till och med få tag i ytterligare skadligt innehåll från skadlig programvaras servrar för att dra in ännu mer skadlig skadlig programvara.
Singh var dock snabb med att tillägga att Office inte är det enda sättet att infektera datorsystem, men "det är ett av de mest populära [målen] på grund av användningen av Office-dokument av nästan alla på Internet."
För att regera i hotet började Microsoft märka vissa dokument från opålitliga platser, som internet, med attributet Mark of the Web (MOTW), en kodsträng som anger utlöser säkerhetsfunktioner.
I sin forskning hävdar Proofpoint att minskningen av användningen av makron är ett direkt svar på Microsofts beslut att tagga MOTW-attributet till filer.
Singh är inte förvånad. Han förklarade att komprimerade arkiv som ISO- och RAR-filer inte förlitar sig på Office och kan köra skadlig kod på egen hand. "Det är uppenbart att ändra taktik är en del av cyberbrottslingars strategi för att säkerställa att de anstränger sig för den bästa attackmetoden som har störst sannolikhet att [smitta människor]."
Innehåller skadlig programvara
Att bädda in skadlig programvara i komprimerade filer som ISO- och RAR-filer hjälper också till att undvika upptäcktstekniker som fokuserar på att analysera strukturen eller formatet på filer, förklarade Singh. "Till exempel är många upptäckter för ISO- och RAR-filer baserade på filsignaturer, som enkelt kan tas bort genom att komprimera en ISO- eller RAR-fil med en annan komprimeringsmetod."
Enligt Proofpoint, precis som de skadliga makron framför dem, är det mest populära sättet att skicka dessa skadliga arkiv via e-post.
Proofpoints forskning bygger på att spåra aktiviteter från olika ökända hotaktörer. Den observerade användningen av de nya initiala åtkomstmekanismerna som används av grupper som distribuerar Bumblebee och Emotet malware, såväl som av flera andra cyberkriminella, för alla typer av skadlig programvara.
"Mer än hälften av de 15 spårade hotaktörerna som använde ISO-filer [mellan oktober 2021 och juni 2022] började använda dem i kampanjer efter januari 2022", framhävde Proofpoint.
För att stödja ditt försvar mot dessa förändringar i taktiken från hotaktörerna, föreslår Singh att folk ska vara försiktiga med oönskade e-postmeddelanden. Han varnar också människor för att klicka på länkar och öppna bilagor såvida de inte är säkra på att dessa filer är säkra.
"Lita inte på några källor om du inte förväntar dig ett meddelande med en bilaga", upprepade Singh. "Lita på, men verifiera, till exempel, ring kontakten innan du [öppnar en bilaga] för att se om det verkligen är ett viktigt e-postmeddelande från din vän eller ett skadligt meddelande från deras inträngda konton."
