Βασικά Takeaways
- Η απόφαση της Microsoft να αποκλείσει τις μακροεντολές θα κλέψει από τους φορείς απειλών αυτό το δημοφιλές μέσο διανομής κακόβουλου λογισμικού.
- Ωστόσο, οι ερευνητές σημειώνουν ότι οι εγκληματίες του κυβερνοχώρου έχουν ήδη αλλάξει τακ και έχουν περιορίσει σημαντικά τη χρήση μακροεντολών σε πρόσφατες καμπάνιες κακόβουλου λογισμικού.
- Ο αποκλεισμός μακροεντολών είναι ένα βήμα προς τη σωστή κατεύθυνση, αλλά στο τέλος της ημέρας, οι άνθρωποι πρέπει να είναι πιο προσεκτικοί για να μην μολυνθούν, προτείνουν οι ειδικοί.
Ενώ η Microsoft πήρε τη δική της γλυκιά στιγμή αποφασίζοντας να αποκλείσει μακροεντολές από προεπιλογή στο Microsoft Office, οι φορείς απειλών λύγισαν γρήγορα αυτόν τον περιορισμό και επινόησαν νέους φορείς επίθεσης.
Σύμφωνα με νέα έρευνα από τον προμηθευτή ασφαλείας Proofpoint, οι μακροεντολές δεν είναι πλέον το αγαπημένο μέσο διανομής κακόβουλου λογισμικού. Η χρήση κοινών μακροεντολών μειώθηκε κατά περίπου 66% από τον Οκτώβριο του 2021 έως τον Ιούνιο του 2022. Από την άλλη πλευρά, η χρήση αρχείων ISO (εικόνα δίσκου) σημείωσε αύξηση άνω του 150%, ενώ η χρήση του LNK (Συντόμευση αρχείου των Windows) Τα αρχεία αυξήθηκαν κατά 1,675% στο ίδιο χρονικό διάστημα. Αυτοί οι τύποι αρχείων μπορούν να παρακάμψουν τις προστασίες αποκλεισμού μακροεντολών της Microsoft.
"Οι φορείς απειλών που απομακρύνονται από την απευθείας διανομή συνημμένων που βασίζονται σε μακροεντολές στο email αντιπροσωπεύει μια σημαντική αλλαγή στο τοπίο των απειλών", δήλωσε ο Sherrod DeGrippo, Αντιπρόεδρος, Έρευνα και Ανίχνευση Απειλών στο Proofpoint, σε δελτίο τύπου. "Οι φορείς απειλών υιοθετούν τώρα νέες τακτικές για την παροχή κακόβουλου λογισμικού και η αυξημένη χρήση αρχείων όπως ISO, LNK και RAR αναμένεται να συνεχιστεί."
Moving With the Times
Σε μια ανταλλαγή email με το Lifewire, ο Harman Singh, Διευθυντής στον πάροχο υπηρεσιών κυβερνοασφάλειας Cyphere, περιέγραψε τις μακροεντολές ως μικρά προγράμματα που μπορούν να χρησιμοποιηθούν για την αυτοματοποίηση εργασιών στο Microsoft Office, με τις μακροεντολές XL4 και VBA να είναι οι πιο συχνά χρησιμοποιούμενες μακροεντολές από Χρήστες γραφείου.
Από την σκοπιά του εγκλήματος στον κυβερνοχώρο, ο Singh είπε ότι οι φορείς απειλών μπορούν να χρησιμοποιήσουν μακροεντολές για μερικές πολύ άσχημες εκστρατείες επιθέσεων. Για παράδειγμα, οι μακροεντολές μπορούν να εκτελέσουν κακόβουλες γραμμές κώδικα στον υπολογιστή ενός θύματος με τα ίδια δικαιώματα με το άτομο που είναι συνδεδεμένο. Οι δράστες απειλών μπορούν να κάνουν κατάχρηση αυτής της πρόσβασης για να διεισδύσουν δεδομένα από έναν υπολογιστή που έχει παραβιαστεί ή ακόμη και να αρπάξουν πρόσθετο κακόβουλο περιεχόμενο από τους διακομιστές του κακόβουλου λογισμικού για να προσελκύσουν ακόμη πιο επιζήμιο κακόβουλο λογισμικό.
Ωστόσο, ο Singh έσπευσε να προσθέσει ότι το Office δεν είναι ο μόνος τρόπος μόλυνσης συστημάτων υπολογιστών, αλλά «είναι ένας από τους πιο δημοφιλείς [στόχους] λόγω της χρήσης των εγγράφων του Office από σχεδόν όλους στο Διαδίκτυο."
Για να κυριαρχήσει στην απειλή, η Microsoft άρχισε να προσθέτει ετικέτες σε ορισμένα έγγραφα από μη αξιόπιστες τοποθεσίες, όπως το Διαδίκτυο, με το χαρακτηριστικό Mark of the Web (MOTW), μια συμβολοσειρά κώδικα που δηλώνει ενεργοποιητές λειτουργίες ασφαλείας.
Στην έρευνά τους, η Proofpoint ισχυρίζεται ότι η μείωση της χρήσης μακροεντολών είναι μια άμεση απάντηση στην απόφαση της Microsoft να επισημάνει το χαρακτηριστικό MOTW σε αρχεία.
Ο Σινγκ δεν εκπλήσσεται. Εξήγησε ότι τα συμπιεσμένα αρχεία όπως τα αρχεία ISO και RAR δεν βασίζονται στο Office και μπορούν να εκτελούν από μόνα τους κακόβουλο κώδικα. "Είναι προφανές ότι η αλλαγή τακτικής αποτελεί μέρος της στρατηγικής των εγκληματιών του κυβερνοχώρου για να διασφαλίσει ότι θα καταβάλουν τις προσπάθειές τους στην καλύτερη μέθοδο επίθεσης που έχει την υψηλότερη πιθανότητα [μόλυνσης ανθρώπων]."
Περιέχει κακόβουλο λογισμικό
Η ενσωμάτωση κακόβουλου λογισμικού σε συμπιεσμένα αρχεία, όπως αρχεία ISO και RAR, βοηθά επίσης στην αποφυγή τεχνικών ανίχνευσης που εστιάζουν στην ανάλυση της δομής ή της μορφής των αρχείων, εξήγησε ο Singh. "Για παράδειγμα, πολλές ανιχνεύσεις για αρχεία ISO και RAR βασίζονται σε υπογραφές αρχείων, οι οποίες μπορούν εύκολα να αφαιρεθούν με τη συμπίεση ενός αρχείου ISO ή RAR με άλλη μέθοδο συμπίεσης."
Σύμφωνα με το Proofpoint, όπως και οι κακόβουλες μακροεντολές πριν από αυτούς, το πιο δημοφιλές μέσο μεταφοράς αυτών των αρχείων με κακόβουλο λογισμικό είναι μέσω email.
Η έρευνα της Proofpoint βασίζεται σε δραστηριότητες παρακολούθησης διαφόρων διαβόητων παραγόντων απειλών. Παρατήρησε τη χρήση των νέων μηχανισμών αρχικής πρόσβασης που χρησιμοποιούνται από ομάδες που διανέμουν το Bumblebee και το κακόβουλο λογισμικό Emotet, καθώς και από αρκετούς άλλους εγκληματίες στον κυβερνοχώρο, για όλα τα είδη κακόβουλου λογισμικού.
"Περισσότεροι από τους μισούς από τους 15 παρακολουθούμενους παράγοντες απειλών που χρησιμοποιούσαν αρχεία ISO [μεταξύ Οκτωβρίου 2021 και Ιουνίου 2022] άρχισαν να τα χρησιμοποιούν σε καμπάνιες μετά τον Ιανουάριο του 2022", τόνισε το Proofpoint.
Για να στηρίξετε την άμυνά σας έναντι αυτών των αλλαγών στην τακτική από τους παράγοντες απειλών, ο Singh προτείνει στους ανθρώπους να είναι προσεκτικοί με τα ανεπιθύμητα μηνύματα ηλεκτρονικού ταχυδρομείου. Προειδοποιεί επίσης τους ανθρώπους να μην κάνουν κλικ σε συνδέσμους και να ανοίξουν συνημμένα, εκτός εάν είναι βέβαιοι αναμφίβολα ότι αυτά τα αρχεία είναι ασφαλή.
"Μην εμπιστεύεστε καμία πηγή εκτός εάν περιμένετε ένα μήνυμα με συνημμένο", επανέλαβε ο Singh. "Εμπιστευτείτε, αλλά επαληθεύστε, για παράδειγμα, καλέστε την επαφή πριν [ανοίξετε ένα συνημμένο] για να δείτε εάν είναι πραγματικά ένα σημαντικό μήνυμα ηλεκτρονικού ταχυδρομείου από τον φίλο σας ή ένα κακόβουλο από τους παραβιασμένους λογαριασμούς του."
