Como os invasores estão se adaptando a um mundo pós-macro

Desde o desligamento de macros nos aplicativos do Office pela Microsoft, os invasores estão usando tipos de arquivos de contêiner para distribuir malware em uma das maiores mudanças no cenário de ameaças da história recente.

Depois que a Microsoft anunciou que começaria a bloquear macros VBA e XL4 por padrão para aplicativos do Windows Office no final do ano ado, os invasores começaram a usar arquivos de contêiner, como anexos ISO e RAR e arquivos de atalho do Windows (LNK) para fornecer cargas úteis.

“Estamos vendo os comportamentos mudarem em todo o cenário de ameaças e, como nossos pesquisadores mencionam no relatório, eles avaliam com alta confiança que esta é uma das maiores mudanças no cenário de ameaças de e-mail na história recente”, disse Sherrod DeGrippo, vice-presidente de Threat Research. e Detecção em Proofpoint. “Os agentes de ameaças prestam atenção ao que funciona e ao que não funciona, eles estão continuamente procurando maneiras de serem mais eficazes com seus ataques.”

De acordo com o fornecedor de segurança Proofpoint, entre outubro de 2021 e junho de 2022, o uso de macros para entregar cargas de malware diminuiu 66%.

As macros VBA são usadas por agentes de ameaças para executar conteúdo mal-intencionado automaticamente quando um usuário habilitou macros ativamente em aplicativos do Office. As macros XL4 são específicas para o aplicativo Excel, mas também podem ser armadas por agentes de ameaças, disse a Proofpoint. Os atores de ameaças usam táticas de engenharia social para fazer com que os usuários ativem as macros, que são necessárias para visualizar o conteúdo do arquivo.

VEJO: Política de segurança de dispositivos móveis (TechRepublic )

“Os maus atores enviam macros em arquivos do Office para usuários finais que os habilitam sem saber, cargas maliciosas são entregues e o impacto pode ser grave, incluindo malware, identidade comprometida, perda de dados e o remoto”, disse a Microsoft em um post no blog abordando o problema. .

Ignorando a Marca da Web

A Microsoft bloqueia macros VBA com base em um atributo Mark of the Web (MOTW) conhecido como identificador de zona que mostra se um arquivo vem da Internet, de uma fonte restrita e, portanto, se pode ser confiável. O problema é que o MOTW pode ser contornado usando formatos de arquivo de contêiner como ISO (.iso), RAR (.rar), ZIP (.zip) e IMG (.img) para enviar documentos habilitados para macro.

“Quando baixados, os arquivos ISO, RAR, etc. terão o atributo MOTW porque foram baixados da Internet, mas o documento dentro, como uma planilha habilitada para macro, não”, disse a Proofpoint em um comunicado à imprensa. “Quando o documento for extraído, o usuário ainda terá que habilitar macros para que o código malicioso seja executado automaticamente, mas o sistema de arquivos não identificará o documento como vindo da web.”

Os invasores também podem usar arquivos de contêiner para distribuir cargas diretamente, disse a Proofpoint. Os arquivos de contêiner podem obscurecer LNKs, DLLs ou arquivos executáveis ​​(.exe) que levam à instalação de uma carga maliciosa quando abertos. Os arquivos XLL de contêiner, um tipo de arquivo de biblioteca de vínculo dinâmico (DLL) para Excel, também tiveram um pequeno aumento no uso depois que a Microsoft anunciou que desativaria as macros XL4 em 2021.

VEJO: Violação de senha: por que cultura pop e senhas não se misturam (PDF grátis) (TechRepublic)

A Proofpoint também relatou um pequeno aumento no uso de anexos HTML para distribuir malware. O número de campanhas de malware usando anexos HTML mais que dobrou de outubro de 2021 a junho de 2022, mas o número geral permanece baixo.

“Embora os tipos de arquivo tenham mudado, os agentes de ameaças ainda estão usando a mesma ampla variedade de táticas de engenharia social para fazer as pessoas abrirem e clicarem”, disse DeGrippo. “A melhor defesa é uma abordagem de várias camadas em que as pessoas estão no centro de sua estratégia de segurança.”