Bagaimana Penjahat Dunia maya Diadaptasi ke Microsoft Memblokir Makro Secara Default

Sejak Microsoft memutuskan untuk memblokir makro Office secara default, pelaku ancaman terpaksa berevolusi, mengadopsi metode baru untuk menyebarkan malware dengan kecepatan yang belum pernah terjadi sebelumnya.

Untuk waktu yang lama, yang digunakan oleh pelaku ancaman makro Microsoft Office yang berbahaya untuk mendapatkan kaitan ke dalam komputer target mereka. Oleh karena itu, pada tahun 2022, Microsoft akhirnya — meskipun tidak merata — mulai memblokir makro secara default pada file yang diunduh dari Internet.

Kini, tanpa mainan favorit mereka, peretas harus menemukan cara baru untuk membawa malware mereka ke tempat yang mereka inginkan.

“Dalam banyak hal, mereka hanya melempar spageti ke dinding untuk melihat apa yang menempel,” kata Selena Larson, penulis laporan baru tentang tren tersebut. “Energi yang mereka habiskan untuk menciptakan rantai serangan baru sangatlah unik,” dan para pembela siber harus bisa mengimbanginya.

Bagaimana Penyerang Menyesuaikan Diri

Jarang sekali perubahan kebijakan yang sederhana dapat membawa perubahan besar dalam lanskap kejahatan dunia maya. Pada tahun 2021, tahun pengumuman Microsoft, peneliti dari Proofpoint melacak lebih dari seribu kampanye berbahaya yang memanfaatkan makro.

Pada tahun 2022 – tahun dimana perubahan kebijakan mulai berlaku – serangan yang mendukung makro anjlok sebesar 66%. Sejauh ini pada tahun 2023, makro hampir hilang akibat serangan siber.

Sebagai gantinya, peretas memerlukan solusi lain. File kontainer muncul sebagai alternatif yang populer tahun lalu, memungkinkan penyerang untuk melewati tag “mark-of-the-Web” Microsoft untuk file yang diunduh dari Internet. Sekali Microsoft mengatasi solusi itu, namun, file tersebut tidak sesuai dengan makro.

Sejak itu, para peretas terus mencari angsa emas baru mereka.

Misalnya, pada Semester 2 tahun 2022, peneliti Proofpoint mengamati peningkatan yang signifikan penyelundupan HTML — menyelipkan skrip yang disandikan melalui lampiran HTML. Pada tahun 2023, PDF yang bagus telah terbukti menjadi format file yang populer bagi penyerang. Dan pada bulan Desember lalu, beberapa kampanye jahat mulai menggunakan aplikasi pencatatan Microsoft OneNote sebagai sarana untuk menyebarkan malware mereka. Pada bulan Januari, lusinan pelaku ancaman mengikuti tren ini, dan, dalam beberapa bulan terakhir, lebih dari 120 kampanye telah menggunakan OneNote.

Tapi tidak ada yang macet. “Kami belum melihat apa pun yang memiliki daya tahan yang sama dengan attachment berkemampuan makro,” kata Larson.

Apa Artinya Bagi Tim Keamanan

“Penyerang sekarang harus lebih kreatif, sehingga memberikan lebih banyak peluang bagi mereka untuk melakukan kesalahan atau melakukan kesalahan,” kata Larson.

Namun, memaksa penjahat dunia maya keluar dari zona nyaman mereka memerlukan konsekuensi. “Kecepatan, laju, dan cakupan perubahan yang mereka lakukan – semua rantai serangan berbeda yang mereka uji – sangat menonjol,” katanya.

Oleh karena itu, para pembela siber harus bergerak sama cepatnya untuk mengimbanginya. “Kita harus proaktif terhadap perilaku pelaku ancaman dan membuat deteksi serta aturan baru dan semacamnya, karena pelaku ancaman mencoba berbagai cara untuk melewati deteksi yang ada,” katanya.

Organisasi juga harus selalu mengikuti perkembangan tren terkini. Ikuti pelatihan keamanan: “Saya tahu bahwa sering kali, orang-orang dilatih tentang dokumen yang mendukung makro. Sekarang Anda harus membuat pengguna Anda sadar akan metode PDF baru dan menggunakan contoh nyata dari potensi ancaman untuk dimasukkan ke dalam pelatihan keamanan,” katanya..

“Tetapi dari sudut pandang keamanan holistik secara keseluruhan, saya rasa tidak ada hal yang perlu diubah secara drastis, selama Anda memastikan bahwa pengguna menyadarinya,” kata Larson. “Hanya menjadi, seperti, 'Hei, hati-hati terhadap hal semacam ini!'”

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoAiStream. Kecerdasan Data Web3. Pengetahuan Diperkuat. Akses Di Sini.
• Mencetak Masa Depan bersama Adryenn Ashley. Akses Di Sini.
• Beli dan Jual Saham di Perusahaan PRE-IPO dengan PREIPO®. Akses Di Sini.
• Sumber: https://www.darkreading.com/application-security/how-malware-delivery-adapted-to-microsoft-blocking-macros-by-default