I criminali informatici ricorrono ai file container e ad altre tattiche per aggirare il tentativo dell'azienda di contrastare un modo popolare di fornire payload di phishing dannosi.
I ricercatori hanno scoperto che gli attori delle minacce stanno aggirando il blocco predefinito delle macro di Microsoft nella sua suite Office, utilizzando file alternativi per ospitare payload dannosi ora che un canale principale per la distribuzione delle minacce è stato interrotto.
L'uso di allegati abilitati per le macro da parte degli attori delle minacce è diminuito di circa il 66% tra ottobre 2021 e giugno 2022, secondo i nuovi dati rivelati da Proofpoint in un post sul blog Giovedì. L'inizio della diminuzione ha coinciso con il piano di Microsoft di iniziare a bloccare le macro XL4 per impostazione predefinita per gli utenti di Excel, seguito dal blocco delle macro VBA per impostazione predefinita nella suite Office quest'anno.
Gli attori delle minacce, dimostrando la loro tipica resilienza, finora sembrano imperterriti dalla mossa, che segna "uno dei più grandi cambiamenti nel panorama delle minacce via e-mail nella storia recente", hanno affermato i ricercatori Selena Larson, Daniel Blackford e altri del Proofpoint Threat Research Team nel un post.
Sebbene per ora i criminali informatici continuino a utilizzare le macro nei documenti dannosi utilizzati nelle campagne di phishing, hanno anche iniziato a girare attorno alla strategia di difesa di Microsoft rivolgendosi ad altri tipi di file come contenitori per il malware, vale a dire, file contenitore come allegati ISO e RAR, nonché File di collegamento di Windows (LNK), hanno detto.
In effetti, nello stesso periodo di otto mesi in cui l'uso di documenti abilitati per le macro è diminuito, il numero di campagne dannose che sfruttano i file contenitore inclusi gli allegati ISO, RAR e LNK è aumentato di quasi il 175 percento, hanno scoperto i ricercatori.
"È probabile che gli attori delle minacce continueranno a utilizzare i formati di file container per fornire malware, facendo meno affidamento sugli allegati abilitati alle macro", hanno osservato.
Non più macro?
Le macro, utilizzate per automatizzare le attività utilizzate di frequente in Office, sono state tra le più numerose modi popolari almeno per fornire malware in allegati di posta elettronica dannosi la parte migliore di un decennio, in quanto possono essere consentiti con un semplice clic del mouse da parte dell'utente quando richiesto.
Le macro sono state disabilitate da tempo per impostazione predefinita in Office, sebbene gli utenti possano sempre abilitarle, il che ha consentito agli attori delle minacce di armare entrambe le macro VBA, che possono eseguire automaticamente contenuti dannosi quando le macro sono abilitate nelle app di Office, nonché macro XL4 specifiche di Excel . In genere usano gli attori socialmente progettato campagne di phishing per convincere le vittime dell'urgenza di abilitare le macro in modo che possano aprire ciò che non sanno essere allegati di file dannosi.
Mentre la mossa di Microsoft di bloccare completamente le macro finora non ha scoraggiato gli attori delle minacce dal usarle completamente, ha stimolato questo notevole passaggio ad altre tattiche, hanno affermato i ricercatori di Proofpoint.
La chiave di questo cambiamento sono le tattiche per aggirare il metodo di Microsoft per bloccare le macro VBA basate su un attributo Mark of the Web (MOTW) che mostra se un file proviene da Internet noto come Zone.Identifier, hanno osservato i ricercatori.
"Le applicazioni Microsoft lo aggiungono ad alcuni documenti quando vengono scaricati dal Web", hanno scritto. "Tuttavia, MOTW può essere aggirato utilizzando formati di file contenitore".
In effetti, la società di sicurezza IT Outflank è conveniente dettagliati molteplici opzioni per gli hacker etici specializzati nella simulazione di attacchi, noti come "red teamer", per aggirare i meccanismi MOTW, secondo Proofpoint. Il post non sembra essere passato inosservato agli attori delle minacce, poiché hanno anche iniziato a implementare queste tattiche, hanno affermato i ricercatori.
Cambio formato file
Per aggirare il blocco delle macro, gli aggressori utilizzano sempre più formati di file come file ISO (.iso), RAR (.rar), ZIP (.zip) e IMG (.img) per inviare documenti abilitati alle macro, hanno affermato i ricercatori. Questo perché, sebbene i file stessi abbiano l'attributo MOTW, il documento all'interno, come un foglio di calcolo abilitato per le macro, non lo farà, hanno osservato i ricercatori.
"Quando il documento viene estratto, l'utente dovrà comunque abilitare le macro per l'esecuzione automatica del codice dannoso, ma il file system non identificherà il documento come proveniente dal Web", hanno scritto nel post.
Inoltre, gli attori delle minacce possono utilizzare i file contenitore per distribuire i payload direttamente aggiungendo contenuto aggiuntivo come LNK, DLLo file eseguibili (.exe) che possono essere utilizzati per eseguire un payload dannoso, hanno affermato i ricercatori.
Proofpoint ha anche registrato un leggero aumento dell'abuso dei file XLL, un tipo di file DLL (Dynamic Link Library) per Excel, anche nelle campagne dannose, sebbene un aumento non così significativo come l'uso di file ISO, RAR e LNK , hanno notato.
- blockchain
- geniale
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- hack
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- Messaggio di minaccia
- VPN
- Sicurezza Web
- sicurezza del sito Web
- zefiro
