Οι hackers που συνήθιζαν να διανέμουν malware μέσω συνημμένων σε emails με κακόβουλες μακροεντολές, άρχισαν να αλλάζουν τις τακτικές τους, αφού το Microsoft Office άρχισε να αποκλείει από προεπιλογή τις μακροεντολές. Έτσι, οι εγκληματίες του κυβερνοχώρου έχουν τώρα μεταβεί σε νέους τύπους αρχείων όπως συνημμένα ISO, RAR και Windows Shortcut (LNK).
Οι μακροεντολές VBA και XL4 είναι μικρά προγράμματα που δημιουργούνται για την αυτοματοποίηση επαναλαμβανόμενων εργασιών σε εφαρμογές του Microsoft Office. Πολλές φορές, όμως, χρησιμοποιούνται από hackers για φόρτωση ή εγκατάσταση malware μέσω κακόβουλων συνημμένων εγγράφων του Microsoft Office που αποστέλλονται μέσω emails.
Δείτε επίσης: Hackers χρησιμοποιούν επέκταση browser για να κλέψουν emails
Λόγω των συχνών επιθέσεων, η Microsoft αποφάσισε να αποκλείει αυτόματα τις μακροεντολές, από προεπιλογή, και να καταστήσει πιο δύσκολη την ενεργοποίησή τους, ώστε να μειωθεί η κατάχρησή τους για κακόβουλους σκοπούς.
Η Microsoft είχε ανακοινώσει πολύ καιρό πριν αυτή την απόφαση, αλλά ο αποκλεισμός τέθηκε τελικά σε ισχύ την περασμένη εβδομάδα.
Ωστόσο, ήδη η αρχική ανακοίνωση είχε κάνει τους χειριστές malware να απομακρυνθούν από τις μακροεντολές και να αρχίσουν να πειραματίζονται με εναλλακτικές μεθόδους για τη μόλυνση των θυμάτων.
Οι hackers εγκαταλείπουν τις μακροεντολές μετά τα μέτρα της Microsoft
Σε μια νέα έκθεση της Proofpoint, οι ερευνητές εξέτασαν κακόβουλες εκστρατείες μεταξύ Οκτωβρίου 2021 και Ιουνίου 2022 και εντόπισαν μια σαφή στροφή σε άλλες μεθόδους διανομής κακόβουλου payload. Σε αυτό το διάστημα, σημειώθηκε μείωση 66% στη χρήση μακροεντολών.
Την ίδια στιγμή, η χρήση container files όπως ISO, ZIP και RAR άρχισε να αυξάνεται, καταλήγοντας σε μια αύξηση σχεδόν 175%.
Η χρήση αρχείων LNK έγινε πιο συχνή μετά τον Φεβρουάριο του 2022, όταν η Microsoft ανακοίνωσε τα σχέδιά της για αποκλεισμό των μακροεντολών. Σε σύγκριση με τον Οκτώβριο του 2021, η χρήση αυτών των αρχείων αυξήθηκε κατά 1.675% και αποτέλεσε αγαπημένη επιλογή τουλάχιστον δέκα μεμονωμένων ομάδων απειλών που παρακολουθεί η Proofpoint.
Δείτε επίσης: Microsoft: Windows, Adobe zero-day exploits για ανάπτυξη του Subzero
Έχει ήδη αναφερθεί η χρήση αρχείων LNK από εκστρατείες διανομής των Emotet, Qbot και IcedID. Σε όλες τις περιπτώσεις, τα αρχεία παρουσιάζονταν σαν έγγραφα του Word για να εξαπατήσουν τον παραλήπτη να τα ανοίξει.
Ωστόσο, αυτά τα link files μπορούν να χρησιμοποιηθούν για την εκτέλεση σχεδόν οποιασδήποτε εντολής που ο χρήστης έχει άδεια να χρησιμοποιήσει, συμπεριλαμβανομένης της εκτέλεσης PowerShell scripts που πραγματοποιούν λήψη και εκτέλεση κακόβουλου λογισμικού από απομακρυσμένες πηγές.
Η Proofpoint παρατήρησε επίσης μια σημαντική αύξηση στη χρήση συνημμένων HTML, που χρησιμοποιούν την τεχνική του HTML smuggling για τη διανομή ενός κακόβουλου αρχείου στο σύστημα. Ωστόσο, αυτή η τακτική δεν είναι τόσο δημοφιλής.
“Οι φορείς απειλών που απομακρύνονται από την απευθείας διανομή συνημμένων που βασίζονται σε μακροεντολές, αντιπροσωπεύουν μια σημαντική αλλαγή στο τοπίο των απειλών“, δήλωσε η Sherrod DeGrippo, αντιπρόεδρος έρευνας και ανίχνευσης απειλών στο Proofpoint.
Απλή μετατόπιση της απειλής
Οι πιθανότητες μόλυνσης ενός συστήματος μέσω κακόβουλων μακροεντολών μειώνονται σημαντικά χάρη στα νέα μέτρα της Microsoft. Αλλά αυτό δεν σημαίνει ότι μειώνονται και γενικά οι επιθέσεις. Τα παραπάνω στοιχεία από την Proofpoint δείχνουν ότι οι εγκληματίες του κυβερνοχώρου δεν το βάζουν κάτω. Απλά στρέφονται σε άλλες μεθόδους διανομής του malware τους.
Δείτε επίσης: Robin Banks: Νέα phishing υπηρεσία στοχεύει πελάτες μεγάλων τραπεζών
Το ερώτημα είναι αν αυτή η αλλαγή θα επηρεάσει την αποτελεσματικότητα των καμπανιών κακόβουλου λογισμικού, καθώς το να πειστούν οι παραλήπτες να ανοίξουν αρχεία .docx και .xls είναι πολύ πιο εύκολο από το να πειστούν να ανοίξουν αρχεία των οποίων τα ονόματα τελειώνουν με .lnk.
Επιπλέον, για να παρακάμψουν τον εντοπισμό από λογισμικό ασφαλείας, πολλές καμπάνιες phishing προστατεύουν πλέον τα συνημμένα με κωδικό πρόσβασης, προσθέτοντας ένα extra βήμα που πρέπει να κάνει ένας στόχος για να αποκτήσει πρόσβαση στα κακόβουλα αρχεία.
Επομένως, μπορούμε να ελπίζουμε ότι παρά τις προσπάθειές τους και τη μετατόπιση σε νέα αρχεία, τα ποσοστά επιτυχημένων επιθέσεων μπορεί να μειωθούν.
Πηγή: www.bleepingcomputer.com