כיצד עברייני סייבר הסתגלו לחסימת מאקרו של מיקרוסופט כברירת מחדל

מאז שמיקרוסופט החליטה לחסום פקודות מאקרו של Office כברירת מחדל, גורמי איומים נאלצו להתפתח, תוך אימוץ שיטות חדשות לאספקת תוכנות זדוניות בקצב חסר תקדים.

במשך זמן רב, שחקני איום השתמשו פקודות מאקרו זדוניות של Microsoft Office להכניס קרס למחשבי המטרה שלהם. מסיבה זו, בשנת 2022, מיקרוסופט סוף סוף - אם כי לא אחיד - החל לחסום פקודות מאקרו כברירת מחדל על קבצים שהורדו מהאינטרנט.

כעת, ללא הצעצוע האהוב עליהם, האקרים צריכים למצוא דרכים חדשות להביא את התוכנה הזדונית שלהם לאן שהם רוצים.

"בהרבה מובנים, הם פשוט זורקים ספגטי על הקיר כדי לראות מה נדבק", אומרת סלינה לרסון, מחברת הספר דו"ח חדש על המגמה. "האנרגיה שהם משקיעים כדי ליצור שרשראות התקפה חדשות היא באמת ייחודית", ומגני הסייבר יצטרכו לעמוד בקצב.

איך התוקפים הסתגלו

רק לעתים נדירות, שינוי מדיניות פשוט כל כך עשה הבדל כה גדול בנוף פשעי הסייבר. בשנת 2021, שנת ההכרזה של מיקרוסופט, חוקרים מ-Proofpoint עקבו אחרי הרבה מעבר לאלף מסעות פרסום זדוניים המשתמשים בפקודות מאקרו.

בשנת 2022 - השנה שבה נכנס לתוקף שינוי המדיניות - צנחו מתקפות מאקרו ב-66%. עד כה בשנת 2023, פקודות מאקרו כמעט נעלמו בהתקפות סייבר.

במקומם, האקרים צריכים פתרון אחר. קבצי מיכל הופיעו כחלופה פופולרית בשנה שעברה, מה שאפשר לתוקפים לעקוף את תג "סימן-הרשת" של מיקרוסופט עבור קבצים שהורדו מהאינטרנט. פעם מיקרוסופט התייחס לפתרון הזהעם זאת, קבצים כאלה הלכו בדרך של המאקרו.

מאז, האקרים חיפשו את אווז הזהב החדש שלהם.

לדוגמה, ב-H2 2022, חוקרי Proofpoint הבחינו בעלייה משמעותית ב הברחת HTML - החלקת סקריפט מקודד דרך קובץ HTML מצורף. בשנת 2023, קובצי PDF ישנים הוכיחו תבנית קובץ פופולרית עבור תוקפים. ובדצמבר האחרון, כמה מסעות פרסום זדוניים החלו להשתמש באפליקציית רישום ההערות של מיקרוסופט OneNote כאמצעי לאספקת תוכנות זדוניות שלהם. עד ינואר, עשרות שחקני איומים הצטרפו למגמה, ובחודשים האחרונים, למעלה מ-120 קמפיינים עשו שימוש ב-OneNote.

אבל שום דבר לא נתקע. "לא ראינו שום דבר שיש לו אותו סוג של עמידות כמו הקובץ המצורף המאפשר מאקרו," אומר לרסון.

מה זה אומר עבור צוותי אבטחה

"התוקפים צריכים להיות יותר יצירתיים עכשיו, מה שמציג יותר הזדמנויות עבורם לפשל או לעשות טעויות", אומר לרסון.

ובכל זאת, לאלץ פושעי סייבר לצאת מאזור הנוחות שלהם יש מחיר. "המהירות והקצב וההיקף של השינויים שהם מבצעים - כל שרשראות ההתקפה השונות שהם מתנסים בהן - בולטים", היא אומרת.

ולכן, מגיני סייבר יצטרכו לנוע באותה מהירות כדי לעמוד בקצב. "אנחנו צריכים להיות פרואקטיביים להתנהגות של שחקנים לאיום ולהמציא גילויים וכללים חדשים וכאלה, מכיוון ששחקני איומים מנסים דרכים שונות לעקוף גילויים קיימים", היא אומרת.

גם ארגונים יצטרכו להתעדכן בטרנדים האחרונים. קח הדרכות אבטחה: "אני יודע שהרבה מהזמן אנשים מאומנים על מסמכים עם מאקרו. עכשיו אתה צריך לגרום למשתמשים שלך להיות מודעים לשיטות ה-PDF החדשות ולהשתמש בדוגמאות מהעולם האמיתי של איומים פוטנציאליים לשילוב בהדרכות אבטחה", היא אומרת..

"אבל מנקודת מבט כוללת של אבטחה הוליסטית, אני לא חושב שיש משהו שצריך לשנות באופן קיצוני, כל עוד אתה מבטיח שהמשתמשים מודעים", אומר לרסון. "פשוט להיות, כמו, 'היי, תיזהר מהסוג הזה!'"

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoAiStream. Web3 Data Intelligence. הידע מוגבר. גישה כאן.
• הטבעת העתיד עם אדריאן אשלי. גישה כאן.
• קנה ומכירה של מניות בחברות PRE-IPO עם PREIPO®. גישה כאן.
• מקור: https://www.darkreading.com/application-security/how-malware-delivery-adapted-to-microsoft-blocking-macros-by-default