Kľúčové poznatky
- Rozhodnutie Microsoftu blokovať makrá okradne aktérov hrozieb o tento populárny spôsob distribúcie malvéru.
- Výskumníci však poznamenávajú, že kyberzločinci už v nedávnych kampaniach proti malvéru zmenili prístup a výrazne obmedzili používanie makier.
- Blokovanie makier je krok správnym smerom, no v konečnom dôsledku musia byť ľudia ostražití, aby sa nenakazili, navrhujú odborníci.
Zatiaľ čo Microsoft sa rozhodol predvolene blokovať makrá v balíku Microsoft Office, aktéri hrozieb rýchlo obišli toto obmedzenie a navrhli nové vektory útokov.
Podľa nového výskumu dodávateľa zabezpečenia Proofpoint, makrá už nie sú obľúbeným prostriedkom distribúcie malvéru. Používanie bežných makier sa v období od októbra 2021 do júna 2022 znížilo približne o 66 %. Na druhej strane používanie súborov ISO (obraz disku) zaznamenalo nárast o viac ako 150 %, zatiaľ čo používanie LNK (skratka súboru Windows) súborov vzrástol v rovnakom časovom rámci o ohromujúcich 1 675 %. Tieto typy súborov môžu obísť ochranu blokovania makier od spoločnosti Microsoft.
„Odklon aktérov hrozieb od priamej distribúcie makro-založených príloh v e-mailoch predstavuje významný posun v oblasti hrozieb,“uviedol v tlačovej správe Sherrod DeGrippo, viceprezident pre výskum a detekciu hrozieb v spoločnosti Proofpoint. „Aktori hrozieb teraz prijímajú nové taktiky na šírenie malvéru a očakáva sa, že zvýšené používanie súborov ako ISO, LNK a RAR bude pokračovať.“
Pohybujeme sa s dobou
V e-mailovej výmene s Lifewire opísal Harman Singh, riaditeľ poskytovateľa služieb kybernetickej bezpečnosti Cyphere, makrá ako malé programy, ktoré možno použiť na automatizáciu úloh v balíku Microsoft Office, pričom makrá XL4 a VBA sú najčastejšie používané makrá. Používatelia balíka Office.
Z hľadiska počítačovej kriminality Singh povedal, že aktéri hrozieb môžu použiť makrá na niektoré dosť škaredé útočné kampane. Makrá môžu napríklad spustiť škodlivé riadky kódu na počítači obete s rovnakými oprávneniami, aké má prihlásená osoba. Aktéri hrozieb môžu tento prístup zneužiť na exfiltráciu údajov z napadnutého počítača alebo dokonca na získanie ďalšieho škodlivého obsahu zo serverov škodlivého softvéru, aby natiahli ešte škodlivejší malvér.
Singh však rýchlo dodal, že Office nie je jediný spôsob, ako infikovať počítačové systémy, ale „je to jeden z najpopulárnejších [cieľov] kvôli používaniu dokumentov balíka Office takmer každým na internete."
S cieľom ovládnuť hrozbu začal Microsoft označovať niektoré dokumenty z nedôveryhodných miest, ako je internet, atribútom Mark of the Web (MOTW), reťazcom kódu, ktorý označuje spúšťacie funkcie zabezpečenia.
Vo svojom výskume Proofpoint tvrdí, že pokles používania makier je priamou odpoveďou na rozhodnutie Microsoftu označiť súbory atribútom MOTW.
Singh nie je prekvapený. Vysvetlil, že komprimované archívy, ako sú súbory ISO a RAR, sa nespoliehajú na Office a môžu samy spustiť škodlivý kód. "Je zrejmé, že zmena taktiky je súčasťou stratégie kyberzločincov, aby sa zabezpečilo, že vynaložia svoje úsilie na najlepší spôsob útoku, ktorý má najvyššiu pravdepodobnosť [nakaziť ľudí]."
Obsahuje malvér
Vkladanie malvéru do komprimovaných súborov, ako sú súbory ISO a RAR, tiež pomáha vyhnúť sa technikám detekcie, ktoré sa zameriavajú na analýzu štruktúry alebo formátu súborov, vysvetlil Singh. "Napríklad veľa detekcií pre súbory ISO a RAR je založených na podpisoch súborov, ktoré možno ľahko odstrániť komprimáciou súboru ISO alebo RAR inou metódou kompresie."
Podľa spoločnosti Proofpoint, rovnako ako škodlivé makrá pred nimi, najpopulárnejším spôsobom prenosu týchto archívov s malvérom je e-mail.
Výskum spoločnosti Proofpoint je založený na sledovaní aktivít rôznych notoricky známych aktérov hrozieb. Pozorovalo používanie nových mechanizmov počiatočného prístupu, ktoré používajú skupiny distribuujúce malvér Bumblebee a Emotet, ako aj niekoľko ďalších kyberzločincov na všetky druhy škodlivého softvéru.
„Viac ako polovica z 15 sledovaných aktérov hrozieb, ktorí používali súbory ISO [medzi októbrom 2021 a júnom 2022] ich začala používať v kampaniach po januári 2022,“zdôraznil Proofpoint.
Aby ste podporili svoju obranu proti týmto zmenám v taktike zo strany aktérov hrozieb, Singh navrhuje ľuďom, aby si dávali pozor na nevyžiadané e-maily. Tiež varuje ľudí pred klikaním na odkazy a otváraním príloh, pokiaľ si nie sú úplne istí, že tieto súbory sú bezpečné.
„Nedôverujte žiadnym zdrojom, pokiaľ neočakávate správu s prílohou,“zopakoval Singh. „Dôverujte, ale overte si, napríklad zavolajte kontaktu pred [otvorením prílohy], aby ste zistili, či ide skutočne o dôležitý e-mail od vášho priateľa alebo o škodlivý e-mail z ich napadnutých účtov."
