Cyberkriminelle henvender sig til containerfiler og andre taktikker for at omgå virksomhedens forsøg på at forpurre en populær måde at levere ondsindet phishing-nyttelast.
Trusselsaktører er ved at finde rundt i Microsofts standardblokering af makroer i deres Office-pakke ved at bruge alternative filer til at være vært for ondsindede nyttelaster, nu hvor en primær kanal til trusselslevering afbrydes, har forskere fundet.
Brugen af makroer-aktiverede vedhæftede filer af trusselsaktører faldt omkring 66 procent mellem oktober 2021 og juni 2022, ifølge nye data fra Proofpoint afsløret i et blogindlæg Torsdag. Begyndelsen på faldet faldt sammen med Microsofts plan om at begynde at blokere XL4-makroer som standard for Excel-brugere, fulgt op med blokering af VBA-makroer som standard på tværs af Office-pakken i år.
Trusselsaktører, der demonstrerer deres typiske modstandsdygtighed, ser indtil videre ud til at være uforskrækkede over flytningen, som markerer "et af de største e-mail-trusselslandskabsskift i nyere historie," sagde forskerne Selena Larson, Daniel Blackford og andre på Proofpoint Threat Research Team. et indlæg.
Selvom cyberkriminelle indtil videre fortsætter med at anvende makroer i ondsindede dokumenter, der bruges i phishing-kampagner, er de også begyndt at dreje rundt om Microsofts forsvarsstrategi ved at vende sig til andre filtyper som fartøjer til malware – nemlig containerfiler såsom ISO- og RAR-vedhæftede filer samt Windows Shortcut (LNK) filer, sagde de.
Faktisk, i den samme otte måneders tidsramme, hvor brugen af makroaktiverede dokumenter faldt, steg antallet af ondsindede kampagner, der udnyttede containerfiler, inklusive ISO-, RAR- og LNK-vedhæftede filer, næsten 175 procent, fandt forskere.
"Det er sandsynligt, at trusselsaktører vil fortsætte med at bruge containerfilformater til at levere malware, mens de stoler mindre på makroaktiverede vedhæftede filer," bemærkede de.
Ikke flere makroer?
Makroer, som bruges til at automatisere ofte brugte opgaver i Office, har været blandt de mest populære måder at levere malware i ondsindede e-mail-vedhæftede filer i mindst den bedste del af et årti, da de kan tillades med et enkelt, enkelt museklik fra brugerens side, når du bliver bedt om det.
Makroer har længe været deaktiveret som standard i Office, selvom brugere altid kunne aktivere dem - hvilket har gjort det muligt for trusselsaktører at bevæbne begge VBA-makroer, som automatisk kan køre skadeligt indhold, når makroer er aktiveret i Office-apps, såvel som Excel-specifikke XL4-makroer . Typisk bruger skuespillerne socialt konstrueret phishing-kampagner at overbevise ofrene om, at det haster med at aktivere makroer, så de kan åbne, hvad de ikke ved er ondsindede vedhæftede filer.
Selvom Microsofts tiltag for at blokere makroer helt indtil videre ikke har afskrækket trusselsaktører fra at bruge dem helt, har det ansporet dette bemærkelsesværdige skift til andre taktikker, sagde Proofpoint-forskere.
Nøglen til dette skift er taktik til at omgå Microsofts metode til at blokere VBA-makroer baseret på en Mark of the Web (MOTW) attribut, der viser, om en fil kommer fra internettet kendt som Zone.Identifier, bemærkede forskere.
"Microsoft-applikationer tilføjer dette til nogle dokumenter, når de downloades fra nettet," skrev de. "Men MOTW kan omgås ved at bruge containerfilformater."
Faktisk, it-sikkerhedsfirmaet Outflank bekvemt detaljeret flere muligheder for etiske hackere med speciale i angrebssimulering - kendt som "røde teamere" - for at omgå MOTW-mekanismer, ifølge Proofpoint. Indlægget ser ikke ud til at være gået ubemærket hen af trusselsaktører, da de også er begyndt at implementere disse taktikker, sagde forskere.
Filformat Switcheroo
For at omgå blokering af makroer bruger angribere i stigende grad filformater som ISO (.iso), RAR (.rar), ZIP (.zip) og IMG (.img)-filer til at sende makroaktiverede dokumenter, sagde forskere. Dette skyldes, at selvom filerne selv vil have MOTW-attributten, vil dokumentet indeni, såsom et makroaktiveret regneark, ikke, bemærkede forskere.
"Når dokumentet udpakkes, skal brugeren stadig aktivere makroer for at den ondsindede kode automatisk kan udføres, men filsystemet vil ikke identificere dokumentet som kommer fra nettet," skrev de i indlægget.
Derudover kan trusselsaktører bruge containerfiler til at distribuere nyttelast direkte ved at tilføje yderligere indhold såsom LNK'er, DLL, eller eksekverbare (.exe) filer, der kan bruges til at udføre en ondsindet nyttelast, sagde forskere.
Proofpoint har også set en lille stigning i misbruget af XLL-filer - en type DLL-fil (dynamic link library) til Excel - også i ondsindede kampagner, selvom det ikke er så markant en stigning som brugen af ISO-, RAR- og LNK-filer , bemærkede de.
- blockchain
- coingenius
- cryptocurrency tegnebøger
- kryptoverveksling
- cybersikkerhed
- cyberkriminelle
- Cybersecurity
- afdeling for indenrigssikkerhed
- digitale tegnebøger
- firewall
- hacks
- Kaspersky
- malware
- Mcafee
- Nexbloc
- plato
- platon ai
- Platon Data Intelligence
- Platon spil
- PlatoData
- platogaming
- Threat Post
- VPN
- Web Security
- website sikkerhed
- zephyrnet
