Hogyan alkalmazkodtak a kiberbűnözők a Microsoft alapértelmezés szerinti blokkolásához?

Amióta a Microsoft úgy döntött, hogy alapértelmezés szerint blokkolja az Office makrókat, a fenyegetések szereplői fejlődésre kényszerültek, és új módszereket alkalmaztak a rosszindulatú programok példátlan ütemben történő szállítására.

Hosszú ideje, fenyegetés szereplői használtak rosszindulatú Microsoft Office makrók hogy horgot kapjanak célpontjuk számítógépeibe. Ez volt az oka annak, hogy 2022. A Microsoft végül – bár egyenlőtlenül – elkezdte alapértelmezés szerint blokkolni a makrókat az internetről letöltött fájlokon.

Most, kedvenc játékuk nélkül, a hackereknek új módszereket kell kitalálniuk, hogy rosszindulatú programjaikat a kívánt helyre juttathassák.

„Sok szempontból csak a falra dobják a spagettit, hogy lássák, mi ragad” – mondja Selena Larson, a könyv szerzője. új jelentés a trendről. „Az az energia, amit új támadási láncok létrehozására fordítanak, valóban egyedülálló”, és a kibervédőknek lépést kell tartaniuk.

Hogyan alkalmazkodtak a támadók

Ritkán fordult elő, hogy egy ilyen egyszerű politikai változás ekkora változást hozott a kiberbűnözés világában. 2021-ben, a Microsoft bejelentésének évében a Proofpoint kutatói jóval több mint ezer makrókat használó rosszindulatú kampányt követtek nyomon.

2022-ben – abban az évben, amikor a politikaváltás hatályba lépett – a makro-alapú támadások 66%-kal csökkentek. 2023-ban eddig a makrók teljesen eltűntek a kibertámadásokban.

Helyette a hackereknek más megoldásra van szükségük. A konténerfájlok népszerű alternatívaként jelentek meg tavaly lehetővé tette a támadók számára, hogy megkerüljék a Microsoft „mark-of-the-Web” címkéjét az internetről letöltött fájloknál. Egyszer a Microsoft foglalkozott ezzel a megoldássalazonban az ilyen fájlok a makró útját járták.

Azóta a hackerek keresik új aranylibájukat.

Például 2 második felében a Proofpoint kutatói jelentős növekedést figyeltek meg HTML csempészet - egy kódolt szkript átcsúsztatása egy HTML-mellékleten. 2023-ban a jó öreg PDF-ek népszerű fájlformátumnak bizonyultak a támadók körében. Tavaly decemberben pedig néhány rosszindulatú kampány elkezdte használni a Microsoft jegyzetkészítő alkalmazását, a OneNote-ot rosszindulatú programjaik továbbítására. Januárra több tucat fenyegetettség lépett fel a trendre, és az elmúlt hónapokban több mint 120 kampány használta a OneNote-ot.

Mégsem ragadt be semmi. „Még nem láttunk olyat, ami ugyanolyan tartósságú lenne, mint a makró-kompatibilis tartozék” – mondja Larson.

Mit jelent ez a biztonsági csapatok számára?

„A támadóknak most kreatívabbaknak kell lenniük, ami több lehetőséget kínál számukra, hogy elrontsák vagy hibázzanak” – mondja Larson.

Ennek ellenére a kiberbűnözők komfortzónájukból való kikényszerítése költségekkel jár. „Kiemelkedik az általuk végrehajtott változtatások sebessége, sebessége és hatóköre – a különböző támadási láncok, amelyekkel kísérleteznek –” – mondja.

Így a kibervédőknek ugyanolyan gyorsan kell mozogniuk, hogy lépést tudjanak tartani. „Proaktívnak kell lennünk a fenyegető szereplők viselkedésével kapcsolatban, és új észleléseket, szabályokat és hasonlókat kell kidolgoznunk, mert a fenyegető szereplők különböző módokon próbálják megkerülni a meglévő észleléseket” – mondja.

A szervezeteknek is naprakésznek kell lenniük a legújabb trendekkel. Vegyen részt biztonsági képzéseken: „Tudom, hogy az emberek gyakran kapnak képzést a makróképes dokumentumokról. Most fel kell hívnia a felhasználók figyelmét az új PDF-módszerekre, és a potenciális fenyegetések valós példáit kell felhasználnia a biztonsági képzésbe” – mondja..

„Átfogó, holisztikus biztonsági szempontból azonban nem hiszem, hogy bármin is kellene drasztikusan változtatni, mindaddig, amíg gondoskodik arról, hogy a felhasználók tisztában legyenek vele” – mondja Larson. "Csak úgy, hogy "Hé, vigyázz az ilyen típusú dolgokra!"

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoAiStream. Web3 adatintelligencia. Felerősített tudás. Hozzáférés itt.
• A jövő pénzverése – Adryenn Ashley. Hozzáférés itt.
• Részvények vásárlása és eladása PRE-IPO társaságokban a PREIPO® segítségével. Hozzáférés itt.
• Forrás: https://www.darkreading.com/application-security/how-malware-delivery-adapted-to-microsoft-blocking-macros-by-default