Atores de ameaça estão descobrindo como contornar as medidas de segurança padrão da Microsoft para bloquear macros na suíte Office, usando alternativas de arquivo para hospedar cargas maliciosas, pois um meio primário para entregar ameaças foi interrompido, de acordo com descobertas de pesquisadores.
Cerca de 66% menos uso de anexos que contêm macros por parte de entidades maliciosas foi evidenciado entre outubro de 2021 e junho de 2022, conforme dados divulgados pela Proofpoint em um post de blog na quinta-feira. O decréscimo coincidiu com o planejamento da Microsoft para começar a impedir macros XL4 por padrão para usuários do Excel, seguido pelo bloqueio de macros VBA por padrão em toda a suíte de Office no mesmo ano.
Os atores maliciosos, exibindo sua resistência padrão, parecem indiferentes ao desenvolvimento, que é referido por Selena Larson, Daniel Blackford e outros da Equipe de Pesquisa de Ameaças da Proofpoint como “uma das maiores transformações na perspectiva de ameaças por e-mail na história recente”, em um artigo.
Apesar de que os hackers continuam a empregar macros em documentos maliciosos para campanhas de phishing, eles também estão mudando suas táticas para burlar os sistemas de defesa da Microsoft. Por isso, eles estão usando anexos ISO e RAR, bem como arquivos de atalho do Windows (LNK), para transportar malwares.
Durante os oito meses em que o emprego de documentos com macros foi reduzido, cerca de 175% a mais de campanhas maliciosas, como ISO, RAR e LNK anexos, foram notadas pelos pesquisadores.
É provável que as ameaças de atores sejam entregues com formatos de arquivo de recipientes, ao invés de anexos ativados por macros, foi o que foi observado.
¿Macros Adicionales?
Macros são frequentemente usados para automatizar tarefas no Office e, durante pelo menos a última década, têm sido uma das maneiras mais populares de entregar malware por meio de anexos de e-mail maliciosos. Com apenas um simples clique do mouse do usuário, eles podem ser permitidos.
Desde há muito tempo, as macros foram desativadas por padrão no Office, embora os usuários possam sempre ativá-las – o que se torna um risco, pois as macros VBA podem rodar automaticamente conteúdos maliciosos se as macros estiverem habilitadas nos aplicativos do Office, bem como as macros XL4 específicas do Excel. Os atores de ameaças geralmente usam campanhas de phishing criadas para enganar as vítimas a ativarem as macros de arquivos maliciosos para que possam abri-los sem saber.
A Microsoft recentemente fez alterações que impedem que macros sejam totalmente utilizadas, no entanto, isso não tem desencorajado os agentes maliciosos de fazer uso delas. Os pesquisadores do Proofpoint afirmam que essa mudança motivou os cibercriminosos a empregar outras táticas.
Os estudiosos notaram que a chave para alterar a maneira como a Microsoft bloqueia as macros VBA é o Atributo Marca da Web (MOTW), que identifica se um arquivo veio de uma área da internet conhecida como Zona Identificador.
A Microsoft inclui isso em alguns documentos quando eles são baixados da web”, segundo eles. Mas MOTW pode ser ignorado se formatos de arquivo de contêiner são usados.
A Outflank, empresa de segurança de TI, deu detalhes sobre várias abordagens que hackers éticos especializados em simulação de ameaça – denominados “colaboradores vermelhos” – podem usar para burlar os mecanismos MOTW, de acordo com Proofpoint. Parece que essa informação não foi ignorada por atores maliciosos, pois eles também têm começado a usar essas técnicas, segundo os pesquisadores.
Programa que permite a troca de arquivos entre usuários.
Evitando o bloqueio de macros, os invasores têm usado cada vez mais formatos de arquivo como ISO (.iso), RAR (.rar), ZIP (.zip) e arquivos IMG (.img) para transmitir documentos que têm o recurso de macros ativado, segundo os especialistas. Uma vez que os arquivos em si têm o atributo MOTW, mas o documento dentro, como uma planilha habilitada para macro, não tem, os pesquisadores observaram.
Quando o documento for retirado, o usuário ainda terá que ativar macros para que o código malicioso seja executado automaticamente, mas o sistema de arquivos não vai reconhecer o documento como tendo sido baixado da web, de acordo com o post.
Além disso, os perpetradores de ameaças podem empacotar cargas úteis maliciosas em contêineres, distribuindo-as diretamente com conteúdo adicional, como links LNK, DLLs ou arquivos .exe que podem ser usados para executar uma carga de malware, afirmaram os investigadores.
Proofpoint também notou um pequeno crescimento da utilização de arquivos XLL – tipo de biblioteca de ligações dinâmicas (DLL) arquivo para o Excel – em campanhas maliciosas, embora não tão relevante quanto o uso de arquivos ISO, RAR e LNK, segundo eles.
Mande este artigo para os seus amigos.
- Amigavelmente, eu gostaria se você pudesse me fazer um favor.
- Software malicioso é uma forma de vírus que pode ser usada para capturar dados confidenciais.
- A proteção da web é relevante para todos os usuários da Internet. É primordial que as pessoas tomem medidas para assegurar que suas informações individuais e dados sejam preservados com segurança.