Pelaku Ancaman Berputar di Sekitar Pemblokiran Makro Microsoft di Office

Pelaku ancaman menemukan jalan mereka di sekitar pemblokiran default makro Microsoft di suite Office-nya, menggunakan file alternatif untuk meng-host muatan berbahaya sekarang karena saluran utama untuk pengiriman ancaman terputus, para peneliti telah menemukan.

Penggunaan lampiran yang diaktifkan makro oleh aktor ancaman menurun sekitar 66 persen antara Oktober 2021 dan Juni 2022, menurut data baru yang diungkapkan oleh Proofpoint dalam posting blog Kamis. Awal penurunan bertepatan dengan rencana Microsoft untuk mulai memblokir makro XL4 secara default untuk pengguna Excel, diikuti dengan pemblokiran makro VBA secara default di seluruh Office suite tahun ini.

Pelaku ancaman, yang menunjukkan ketahanan khas mereka, sejauh ini tampak tidak gentar dengan langkah tersebut, yang menandai “salah satu perubahan lanskap ancaman email terbesar dalam sejarah baru-baru ini,” kata peneliti Selena Larson, Daniel Blackford, dan lainnya di Proofpoint Threat Research Team. Pos.

Meskipun penjahat dunia maya untuk saat ini terus menggunakan makro dalam dokumen berbahaya yang digunakan dalam kampanye phishing, mereka juga mulai berputar di sekitar strategi pertahanan Microsoft dengan beralih ke jenis file lain sebagai wadah untuk malware—yaitu, file kontainer seperti lampiran ISO dan RAR serta File Windows Shortcut (LNK), kata mereka.

Memang, dalam jangka waktu delapan bulan yang sama di mana penggunaan dokumen yang mendukung makro menurun, jumlah kampanye jahat yang memanfaatkan file kontainer termasuk lampiran ISO, RAR, dan LNK meningkat hampir 175 persen, para peneliti menemukan.

“Kemungkinan pelaku ancaman akan terus menggunakan format file kontainer untuk mengirimkan malware, sementara tidak terlalu mengandalkan lampiran yang mendukung makro,” catat mereka.

Macro Tidak Ada Lagi?

Makro, yang digunakan untuk mengotomatiskan tugas yang sering digunakan di Office, adalah salah satu yang paling cara populer untuk mengirimkan malware dalam lampiran email berbahaya setidaknya bagian yang lebih baik dari satu dekade, karena mereka dapat diizinkan dengan satu klik mouse sederhana pada bagian pengguna saat diminta.

Makro telah lama dinonaktifkan secara default di Office, meskipun pengguna selalu dapat mengaktifkannya—yang memungkinkan pelaku ancaman untuk mempersenjatai kedua makro VBA, yang dapat secara otomatis menjalankan konten berbahaya saat makro diaktifkan di aplikasi Office, serta makro XL4 khusus Excel . Biasanya para aktor menggunakan direkayasa secara sosial kampanye phishing untuk meyakinkan korban tentang urgensi untuk mengaktifkan makro sehingga mereka dapat membuka apa yang tidak mereka ketahui sebagai lampiran file berbahaya.

Sementara langkah Microsoft untuk memblokir makro sepenuhnya sejauh ini tidak menghalangi pelaku ancaman untuk menggunakannya sepenuhnya, itu telah mendorong pergeseran penting ini ke taktik lain, kata peneliti Proofpoint.

Kunci dari perubahan ini adalah taktik untuk melewati metode Microsoft untuk memblokir makro VBA berdasarkan atribut Mark of the Web (MOTW) yang menunjukkan apakah sebuah file berasal dari internet yang dikenal sebagai Zone.Identifier, catat para peneliti.

“Aplikasi Microsoft menambahkan ini ke beberapa dokumen ketika diunduh dari web,” tulis mereka. “Namun, MOTW dapat dilewati dengan menggunakan format file kontainer.”

Memang, perusahaan keamanan TI Outflank dengan nyaman terperinci beberapa opsi untuk peretas etis yang berspesialisasi dalam simulasi serangan—dikenal sebagai “tim merah”—untuk melewati mekanisme MOTW, menurut Proofpoint. Postingan tersebut tampaknya tidak luput dari perhatian para pelaku ancaman, karena mereka juga mulai menerapkan taktik ini, kata para peneliti.

Pengalih Format File

Untuk melewati pemblokiran makro, penyerang semakin banyak menggunakan format file seperti file ISO (.iso), RAR (.rar), ZIP (.zip), dan IMG (.img) untuk mengirim dokumen yang mendukung makro, kata para peneliti. Ini karena meskipun file itu sendiri akan memiliki atribut MOTW, dokumen di dalamnya, seperti spreadsheet yang mendukung makro, tidak akan, catat para peneliti.

“Ketika dokumen diekstraksi, pengguna masih harus mengaktifkan makro agar kode berbahaya dapat dieksekusi secara otomatis, tetapi sistem file tidak akan mengidentifikasi dokumen tersebut sebagai berasal dari web,” tulis mereka dalam postingan tersebut.

Selain itu, pelaku ancaman dapat menggunakan file kontainer untuk mendistribusikan muatan secara langsung dengan menambahkan konten tambahan seperti LNK, DLL, atau file yang dapat dieksekusi (.exe) yang dapat digunakan untuk mengeksekusi muatan berbahaya, kata para peneliti.

Proofpoint juga telah melihat sedikit peningkatan dalam penyalahgunaan file XLL — sejenis file perpustakaan tautan dinamis (DLL) untuk Excel — dalam kampanye jahat juga, meskipun peningkatannya tidak signifikan seperti penggunaan file ISO, RAR, dan LNK , mereka mencatat.