Mga Key Takeaway
- Ang desisyon ng Microsoft na i-block ang mga macro ay magnanakaw sa mga banta ng aktor ng sikat na paraan na ito para sa pamamahagi ng malware.
- Gayunpaman, napansin ng mga mananaliksik na ang mga cybercriminal ay nagbago na ng mga tack at makabuluhang nabawasan ang paggamit ng mga macro sa kamakailang mga malware campaign.
- Ang pagharang sa mga macro ay isang hakbang sa tamang direksyon, ngunit sa pagtatapos ng araw, ang mga tao ay kailangang maging mas mapagbantay upang maiwasang mahawa, magmungkahi ng mga eksperto.
Habang ang Microsoft ay gumugol ng sarili nitong matamis na oras sa pagpapasya na i-block ang mga macro bilang default sa Microsoft Office, ang mga banta ng aktor ay mabilis na nakayanan ang limitasyong ito at gumawa ng mga bagong attack vector.
Ayon sa bagong pananaliksik ng security vendor na Proofpoint, hindi na ang mga macro ang paboritong paraan ng pamamahagi ng malware. Ang paggamit ng mga karaniwang macro ay bumaba ng humigit-kumulang 66% sa pagitan ng Oktubre 2021 hanggang Hunyo 2022. Sa kabilang banda, ang paggamit ng mga ISO file (isang disc image) ay nagrehistro ng pagtaas ng higit sa 150%, habang ang paggamit ng LNK (Windows File Shortcut) Ang mga file ay tumaas ng nakakagulat na 1, 675% sa parehong timeframe. Maaaring lampasan ng mga uri ng file na ito ang mga proteksyon sa pag-block ng macro ng Microsoft.
"Ang mga aktor ng pagbabanta na umiiwas sa direktang pamamahagi ng mga macro-based na attachment sa email ay kumakatawan sa isang makabuluhang pagbabago sa landscape ng pagbabanta," sabi ni Sherrod DeGrippo, Bise Presidente, Pananaliksik at Pag-detect ng Banta sa Proofpoint, sa isang press release. "Ang mga banta na aktor ay gumagamit na ngayon ng mga bagong taktika upang maghatid ng malware, at ang pagtaas ng paggamit ng mga file gaya ng ISO, LNK, at RAR ay inaasahang magpapatuloy."
Paglipat sa Panahon
Sa isang email exchange kasama ang Lifewire, inilarawan ni Harman Singh, Direktor sa cybersecurity service provider na Cyphere, ang mga macro bilang maliliit na program na magagamit upang i-automate ang mga gawain sa Microsoft Office, kung saan ang XL4 at VBA macros ang pinakakaraniwang ginagamit na mga macro ng Mga user ng opisina.
Mula sa isang cybercrime perspective, sinabi ni Singh na ang mga threat actor ay maaaring gumamit ng mga macro para sa ilang medyo pangit na mga campaign sa pag-atake. Halimbawa, ang mga macro ay maaaring magsagawa ng mga malisyosong linya ng code sa computer ng biktima na may parehong mga pribilehiyo gaya ng naka-log in na tao. Maaaring abusuhin ng mga banta ng aktor ang access na ito upang i-exfiltrate ang data mula sa isang nakompromisong computer o kahit na kumuha ng karagdagang nakakahamak na nilalaman mula sa mga server ng malware upang makakuha ng higit pang nakakapinsalang malware.
Gayunpaman, mabilis na idinagdag ni Singh na ang Office ay hindi lamang ang paraan upang mahawahan ang mga computer system, ngunit "ito ay isa sa mga pinakasikat na [target] dahil sa paggamit ng mga dokumento ng Office ng halos lahat ng tao sa Internet."
Upang maghari sa banta, sinimulan ng Microsoft na i-tag ang ilang dokumento mula sa mga hindi pinagkakatiwalaang lokasyon, tulad ng internet, gamit ang katangiang Mark of the Web (MOTW), isang string ng code na nagtatalaga ng mga tampok sa seguridad.
Sa kanilang pananaliksik, sinasabi ng Proofpoint na ang pagbaba sa paggamit ng mga macro ay direktang tugon sa desisyon ng Microsoft na i-tag ang katangian ng MOTW sa mga file.
Singh ay hindi nagulat. Ipinaliwanag niya na ang mga naka-compress na archive tulad ng ISO at RAR file ay hindi umaasa sa Office at maaaring magpatakbo ng malisyosong code nang mag-isa. "Maliwanag na ang pagbabago ng mga taktika ay bahagi ng diskarte ng mga cybercriminal upang matiyak na ginagawa nila ang kanilang pagsisikap sa pinakamahusay na paraan ng pag-atake na may pinakamataas na posibilidad na [makahawa sa mga tao]."
Naglalaman ng Malware
Ang pag-embed ng malware sa mga naka-compress na file tulad ng ISO at RAR file ay nakakatulong din na maiwasan ang mga diskarte sa pag-detect na nakatuon sa pagsusuri sa istruktura o format ng mga file, paliwanag ni Singh. "Halimbawa, maraming detection para sa ISO at RAR file ay batay sa mga file signature, na madaling maalis sa pamamagitan ng pag-compress ng ISO o RAR file gamit ang isa pang paraan ng compression."
Ayon sa Proofpoint, tulad ng mga nakakahamak na macro na nauna sa kanila, ang pinakasikat na paraan ng pagpapadala sa mga archive na ito na puno ng malware ay sa pamamagitan ng email.
Ang pananaliksik ng Proofpoint ay batay sa mga aktibidad sa pagsubaybay ng iba't ibang kilalang banta na aktor. Naobserbahan nito ang paggamit ng mga bagong mekanismo ng paunang pag-access na ginagamit ng mga pangkat na namamahagi ng Bumblebee, at ng Emotet malware, gayundin ng iba pang cybercriminal, para sa lahat ng uri ng malware.
"Mahigit sa kalahati ng 15 sinusubaybayang mga aktor ng pagbabanta na gumamit ng mga ISO file [sa pagitan ng Oktubre 2021 at Hunyo 2022] ay nagsimulang gumamit ng mga ito sa mga kampanya pagkatapos ng Enero 2022, " naka-highlight ng Proofpoint.
Upang palakasin ang iyong depensa laban sa mga pagbabagong ito sa mga taktika ng mga aktor ng pagbabanta, iminumungkahi ni Singh na mag-ingat ang mga tao sa mga hindi hinihinging email. Binabalaan din niya ang mga tao laban sa pag-click sa mga link at pagbubukas ng mga attachment maliban na lang kung tiwala sila nang walang pag-aalinlangan na ligtas ang mga file na ito.
"Huwag magtiwala sa anumang mga mapagkukunan maliban kung umaasa ka ng isang mensahe na may kalakip," inulit ni Singh. "Magtiwala, ngunit i-verify, halimbawa, tawagan ang contact bago [magbukas ng isang attachment] upang makita kung ito ay talagang isang mahalagang email mula sa iyong kaibigan o isang nakakahamak na email mula sa kanilang mga nakompromisong account."
