Folje kryesore
- Vendimi i Microsoft për të bllokuar makrot do t'u grabisë aktorëve të kërcënimit këtë mjet popullor për shpërndarjen e malware.
- Megjithatë, studiuesit vërejnë se kriminelët kibernetikë kanë ndryshuar tashmë mënyrat dhe kanë reduktuar ndjeshëm përdorimin e makrove në fushatat e fundit të malware.
- Bllokimi i makrove është një hap në drejtimin e duhur, por në fund të ditës, njerëzit duhet të jenë më vigjilentë për të shmangur infektimin, sugjerojnë ekspertët.
Ndërsa Microsoft-i mori kohën e tij të ëmbël për të vendosur të bllokonte makro si parazgjedhje në Microsoft Office, aktorët e kërcënimit u angazhuan shpejt për të kapërcyer këtë kufizim dhe për të krijuar vektorë të rinj sulmi.
Sipas kërkimeve të reja nga shitësi i sigurisë Proofpoint, makro-të nuk janë më mjetet e preferuara të shpërndarjes së malware. Përdorimi i makrove të zakonshme u ul me afërsisht 66% nga tetori 2021 deri në qershor 2022. Nga ana tjetër, përdorimi i skedarëve ISO (një imazh disku) regjistroi një rritje prej mbi 150%, ndërsa përdorimi i LNK (Shkurtorja e skedarit të Windows) dosjet u rritën me 1, 675% në të njëjtën periudhë kohore. Këto lloje skedarësh mund të anashkalojnë mbrojtjen e bllokimit të makrove të Microsoft.
"Aktorët e kërcënimit që largohen nga shpërndarja e drejtpërdrejtë e bashkëngjitjeve të bazuara në makro në email përfaqëson një ndryshim të rëndësishëm në peizazhin e kërcënimit," tha Sherrod DeGrippo, Zëvendës President, Kërkimi dhe Zbulimi i Kërcënimeve në Proofpoint, në një njoftim për shtyp. "Aktorët e kërcënimit tani po miratojnë taktika të reja për të ofruar malware dhe përdorimi në rritje i skedarëve si ISO, LNK dhe RAR pritet të vazhdojë."
Lëviz me kohët
Në një shkëmbim emaili me Lifewire, Harman Singh, Drejtor në ofruesin e shërbimit të sigurisë kibernetike Cyphere, i përshkroi makro-të si programe të vogla që mund të përdoren për të automatizuar detyrat në Microsoft Office, me makrot XL4 dhe VBA që janë makrot më të përdorura nga Përdoruesit e zyrës.
Nga perspektiva e krimit kibernetik, Singh tha se aktorët e kërcënimit mund të përdorin makro për disa fushata sulmesh mjaft të këqija. Për shembull, makrot mund të ekzekutojnë linja të dëmshme kodi në kompjuterin e viktimës me të njëjtat privilegje si personi i regjistruar. Aktorët e kërcënimit mund të abuzojnë me këtë akses për të shfrytëzuar të dhëna nga një kompjuter i komprometuar ose madje për të rrëmbyer përmbajtje shtesë me qëllim të keq nga serverët e malware për të tërhequr malware edhe më të dëmshëm.
Megjithatë, Singh shpejtoi të shtonte se Office nuk është mënyra e vetme për të infektuar sistemet kompjuterike, por "është një nga [objektivat] më të njohura për shkak të përdorimit të dokumenteve të Office nga pothuajse të gjithë në internet."
Për të mbizotëruar në kërcënim, Microsoft filloi të etiketojë disa dokumente nga vende të pabesueshme, si interneti, me atributin Marka e Uebit (MOTW), një varg kodi që përcakton aktivizimin e funksioneve të sigurisë.
Në hulumtimin e tyre, Proofpoint pretendon se ulja e përdorimit të makrove është një përgjigje e drejtpërdrejtë ndaj vendimit të Microsoft për të etiketuar atributin MOTW në skedarë.
Singh nuk është i befasuar. Ai shpjegoi se arkivat e ngjeshur si skedarët ISO dhe RAR nuk mbështeten në Office dhe mund të ekzekutojnë vetë kodin me qëllim të keq. "Është e qartë se ndryshimi i taktikave është pjesë e strategjisë së kriminelëve kibernetikë për të siguruar që ata të bëjnë përpjekjet e tyre në metodën më të mirë të sulmit që ka probabilitetin më të lartë për të [infektuar njerëzit]."
Përmban malware
Përfshirja e malware në skedarë të ngjeshur si skedarët ISO dhe RAR gjithashtu ndihmon në shmangien e teknikave të zbulimit që fokusohen në analizimin e strukturës ose formatit të skedarëve, shpjegoi Singh. "Për shembull, shumë zbulime për skedarët ISO dhe RAR bazohen në nënshkrimet e skedarëve, të cilat mund të hiqen lehtësisht duke kompresuar një skedar ISO ose RAR me një metodë tjetër kompresimi."
Sipas Proofpoint, ashtu si makrot e dëmshme para tyre, mënyra më e popullarizuar për të transportuar këto arkiva të ngarkuara me malware është përmes emailit.
Kërkimi i Proofpoint bazohet në ndjekjen e aktiviteteve të aktorëve të ndryshëm famëkeq të kërcënimit. Ai vëzhgoi përdorimin e mekanizmave të rinj të aksesit fillestar që po përdoreshin nga grupet që shpërndajnë Bumblebee dhe malware Emotet, si dhe nga disa kriminelë të tjerë kibernetikë, për të gjitha llojet e malware.
"Më shumë se gjysma e 15 aktorëve të gjurmuar të kërcënimit që përdorën skedarët ISO [midis tetorit 2021 dhe qershorit 2022] filluan t'i përdorin ato në fushatat pas janarit 2022," theksoi Proofpoint.
Për të mbështetur mbrojtjen tuaj kundër këtyre ndryshimeve në taktika nga aktorët e kërcënimit, Singh u sugjeron njerëzve të jenë të kujdesshëm ndaj emaileve të pakërkuara. Ai gjithashtu paralajmëron njerëzit që të mos klikojnë lidhje dhe të hapin bashkëngjitjet nëse nuk janë të sigurt pa dyshim se këta skedarë janë të sigurt.
"Mos i besoni asnjë burimi nëse nuk prisni një mesazh me një bashkëngjitje," përsëriti Singh. "Besoni, por verifikoni, për shembull, telefononi kontaktin përpara [hapjes së një bashkëngjitjeje] për të parë nëse është me të vërtetë një email i rëndësishëm nga miku juaj ose një keqdashës nga llogaritë e tyre të komprometuara."