Keeawayt
- Microsoftin päätös estää makrot ryöstää uhkatekijöiltä tämän suositun keinon levittää haittaohjelmia.
- Tutkijat huomauttavat kuitenkin, että kyberrikolliset ovat jo vaihtaneet taktiikkaa ja vähentäneet huomattavasti makrojen käyttöä viimeaikaisissa haittaohjelmakampanjoissa.
- Makrojen estäminen on askel oikeaan suuntaan, mutta loppujen lopuksi ihmisten on oltava valppaampia välttääkseen tartunnan, suosittelevat asiantuntijat.
Vaikka Microsoft kesti oman aikansa päättääkseen estää makrot oletusarvoisesti Microsoft Officessa, uhkatoimijat kiersivät tämän rajoituksen nopeasti ja keksivät uusia hyökkäysvektoreita.
Suojaustoimittaja Proofpointin uuden tutkimuksen mukaan makrot eivät ole enää suosikkikeinoja haittaohjelmien levittämiseen. Yleisten makrojen käyttö väheni noin 66 % lokakuusta 2021 kesäkuuhun 2022. Toisa alta ISO-tiedostojen (levykuvan) käyttö lisääntyi yli 150 %, kun taas LNK:n (Windows File Shortcut) käyttö lisääntyi. tiedostot lisääntyivät huikeat 1 675 % samassa ajassa. Nämä tiedostotyypit voivat ohittaa Microsoftin makroestosuojaukset.
"Uhkatoimijat, jotka luopuvat makropohjaisten liitteiden suorasta jakamisesta sähköpostissa, edustavat merkittävää muutosta uhkakuvassa", Sherrod DeGrippo, Proofpointin uhkien tutkimuksesta ja havaitsemisesta vastaava johtaja, sanoi lehdistötiedotteessa. "Uhkatoimijat omaksuvat nyt uusia taktiikkaa haittaohjelmien toimittamiseen, ja tiedostojen, kuten ISO, LNK ja RAR, käytön odotetaan jatkuvan."
Liikkuu ajan kanssa
Lifewiren kanssa käydyssä sähköpostinvaihdossa kyberturvallisuuspalveluntarjoajan Cypheren johtaja Harman Singh kuvaili makroja pieniksi ohjelmiksi, joita voidaan käyttää tehtävien automatisoimiseen Microsoft Officessa. XL4- ja VBA-makrot ovat yleisimmin käyttämiä makroja. Toimistokäyttäjät.
Kyberrikollisuuden näkökulmasta Singh sanoi, että uhkatoimijat voivat käyttää makroja melko ilkeisiin hyökkäyskampanjoihin. Makrot voivat esimerkiksi suorittaa haitallisia koodirivejä uhrin tietokoneella samoilla oikeuksilla kuin sisäänkirjautuneella henkilöllä. Uhkatoimijat voivat käyttää tätä käyttöoikeutta väärin suodatakseen tietoja vaarantuneesta tietokoneesta tai jopa nappatakseen ylimääräistä haitallista sisältöä haittaohjelman palvelimilta saadakseen lisää haitallisia haittaohjelmia.
Singh lisäsi kuitenkin nopeasti, että Office ei ole ainoa tapa saastuttaa tietokonejärjestelmiä, mutta "se on yksi suosituimmista [kohteista], koska lähes kaikki Internetin käyttäjät käyttävät Office-asiakirjoja."
Uhan hallitsemiseksi Microsoft alkoi merkitä joitakin asiakirjoja epäluotettavista paikoista, kuten Internetistä, Mark of the Web (MOTW) -attribuutilla, koodijonolla, joka osoittaa suojausominaisuuksien käynnistämisen.
Proofpoint väittää tutkimuksessaan, että makrojen käytön väheneminen on suora vastaus Microsoftin päätökseen merkitä MOTW-attribuutti tiedostoihin.
Singh ei ole yllättynyt. Hän selitti, että pakatut arkistot, kuten ISO- ja RAR-tiedostot, eivät ole riippuvaisia Officesta ja voivat suorittaa haitallista koodia yksinään. "On selvää, että taktiikkojen muuttaminen on osa kyberrikollisten strategiaa varmistaakseen, että he tekevät parhaansa parhaan hyökkäysmenetelmän löytämiseksi, jolla on suurin todennäköisyys [tartuttaa ihmisiä]."
Sisältää haittaohjelmia
Haittaohjelmien upottaminen pakattuihin tiedostoihin, kuten ISO- ja RAR-tiedostoihin, auttaa myös välttämään tunnistustekniikoita, jotka keskittyvät tiedostojen rakenteen tai muodon analysointiin, Singh selitti. "Esimerkiksi monet ISO- ja RAR-tiedostojen tunnistukset perustuvat tiedostojen allekirjoituksiin, jotka voidaan helposti poistaa pakkaamalla ISO- tai RAR-tiedosto toisella pakkausmenetelmällä."
Proofpointin mukaan, aivan kuten niitä edeltäneet haitalliset makrot, suosituin tapa näiden haittaohjelmien sisältämien arkiston siirtämiseen on sähköposti.
Proofpointin tutkimus perustuu erilaisten pahamaineisten uhkatoimijoiden jäljittämiseen. Se havaitsi, että Bumblebee- ja Emotet-haittaohjelmia jakavat ryhmät sekä useat muut verkkorikolliset käyttävät uusia alkupääsymekanismeja kaikenlaisiin haittaohjelmiin.
"Yli puolet 15 jäljitetystä uhkatekijästä, jotka käyttivät ISO-tiedostoja [lokakuun 2021 ja kesäkuun 2022 välisenä aikana] alkoivat käyttää niitä kampanjoissa tammikuun 2022 jälkeen", korosti Proofpoint.
Singh ehdottaa, että ihmiset ovat varovaisia ei-toivottujen sähköpostien suhteen. Hän myös varoittaa ihmisiä napsauttamasta linkkejä ja avaamasta liitteitä, elleivät he ole epäilemättä varmoja näiden tiedostojen turvallisuudesta.
"Älä luota mihinkään lähteeseen, ellet odota viestiä, jossa on liite", Singh toisti. "Luota, mutta varmista esimerkiksi, että soita yhteyshenkilölle ennen [liitteen avaamista] nähdäksesi, onko kyseessä todella tärkeä sähköposti ystävältäsi vai haitallinen sähköposti hänen vaarantuneista tileistään."