Belangrijkste afhaalrestaurants
- Microsofts besluit om macro's te blokkeren, zal bedreigingsactoren beroven van deze populaire manier om malware te verspreiden.
- Onderzoekers merken echter op dat cybercriminelen al overstag zijn gegaan en het gebruik van macro's in recente malwarecampagnes aanzienlijk hebben verminderd.
- Het blokkeren van macro's is een stap in de goede richting, maar uiteindelijk moeten mensen waakzamer zijn om besmetting te voorkomen, stellen experts voor.
Terwijl Microsoft zijn eigen tijd nam om te besluiten macro's standaard te blokkeren in Microsoft Office, waren dreigingsactoren er snel bij om deze beperking te omzeilen en nieuwe aanvalsvectoren te bedenken.
Volgens nieuw onderzoek van beveiligingsleverancier Proofpoint zijn macro's niet langer het favoriete middel om malware te verspreiden. Het gebruik van veelgebruikte macro's is tussen oktober 2021 en juni 2022 met ongeveer 66% gedaald. Daarentegen registreerde het gebruik van ISO-bestanden (een schijfimage) een toename van meer dan 150%, terwijl het gebruik van LNK (Windows File Shortcut) bestanden stegen in dezelfde periode met maar liefst 1, 675%. Deze bestandstypen kunnen de macroblokkeringsbeveiliging van Microsoft omzeilen.
"Bedreigingsactoren die zich afwenden van het rechtstreeks verspreiden van macro-gebaseerde bijlagen in e-mail, betekent een significante verschuiving in het bedreigingslandschap", zei Sherrod DeGrippo, Vice President, Threat Research and Detection bij Proofpoint, in een persbericht. "Bedreigingsactoren passen nu nieuwe tactieken toe om malware te leveren, en het toegenomen gebruik van bestanden zoals ISO, LNK en RAR zal naar verwachting aanhouden."
Met de tijd meegaan
In een e-mailuitwisseling met Lifewire beschreef Harman Singh, directeur bij cybersecurity-serviceprovider Cyphere, macro's als kleine programma's die kunnen worden gebruikt om taken in Microsoft Office te automatiseren, waarbij XL4- en VBA-macro's de meest gebruikte macro's zijn door Kantoorgebruikers.
Vanuit het perspectief van cybercriminaliteit zei Singh dat bedreigingsactoren macro's kunnen gebruiken voor behoorlijk vervelende aanvalscampagnes. Macro's kunnen bijvoorbeeld kwaadaardige coderegels uitvoeren op de computer van een slachtoffer met dezelfde privileges als de ingelogde persoon. Bedreigingsactoren kunnen deze toegang misbruiken om gegevens van een gecompromitteerde computer te exfiltreren of zelfs extra kwaadaardige inhoud van de malwareservers te halen om nog meer schadelijke malware binnen te halen.
Singh voegde er echter snel aan toe dat Office niet de enige manier is om computersystemen te infecteren, maar "het is een van de meest populaire [doelen] vanwege het gebruik van Office-documenten door bijna iedereen op internet."
Om de dreiging het hoofd te bieden, begon Microsoft sommige documenten van niet-vertrouwde locaties, zoals internet, te taggen met het kenmerk Mark of the Web (MOTW), een reeks code die triggers voor beveiligingsfuncties aangeeft.
In hun onderzoek beweert Proofpoint dat de afname van het gebruik van macro's een directe reactie is op de beslissing van Microsoft om het MOTW-attribuut aan bestanden te taggen.
Singh is niet verbaasd. Hij legde uit dat gecomprimeerde archieven zoals ISO- en RAR-bestanden niet afhankelijk zijn van Office en zelf schadelijke code kunnen uitvoeren. "Het is duidelijk dat het veranderen van tactiek deel uitmaakt van de strategie van cybercriminelen om ervoor te zorgen dat ze hun best doen om de beste aanvalsmethode te gebruiken die de grootste kans heeft om [mensen te besmetten]."
Bevat malware
Het insluiten van malware in gecomprimeerde bestanden zoals ISO- en RAR-bestanden helpt ook om detectietechnieken te omzeilen die zich richten op het analyseren van de structuur of het formaat van bestanden, legt Singh uit. "Veel detecties voor ISO- en RAR-bestanden zijn bijvoorbeeld gebaseerd op bestandssignaturen, die gemakkelijk kunnen worden verwijderd door een ISO- of RAR-bestand te comprimeren met een andere compressiemethode."
Volgens Proofpoint is, net als de kwaadaardige macro's ervoor, de meest populaire manier om deze met malware beladen archieven te verzenden via e-mail.
Het onderzoek van Proofpoint is gebaseerd op het volgen van activiteiten van verschillende beruchte dreigingsactoren. Het observeerde het gebruik van de nieuwe initiële toegangsmechanismen die worden gebruikt door groepen die Bumblebee en de Emotet-malware verspreiden, evenals door verschillende andere cybercriminelen, voor allerlei soorten malware.
"Meer dan de helft van de 15 gevolgde dreigingsactoren die ISO-bestanden gebruikten [tussen oktober 2021 en juni 2022] begon ze te gebruiken in campagnes na januari 2022," benadrukte Proofpoint.
Om uw verdediging tegen deze veranderingen in de tactiek door de dreigingsactoren te versterken, raadt Singh mensen aan op hun hoede te zijn voor ongevraagde e-mails. Hij waarschuwt mensen ook tegen het klikken op links en het openen van bijlagen, tenzij ze er zonder enige twijfel zeker van zijn dat deze bestanden veilig zijn.
"Vertrouw geen enkele bron, tenzij je een bericht met een bijlage verwacht", herhaalde Singh. "Vertrouw, maar verifieer, bijvoorbeeld, bel het contact voordat [een bijlage opent] om te zien of het echt een belangrijke e-mail van je vriend is of een kwaadwillende van hun gecompromitteerde accounts."
