חסימת מאקרו היא רק הצעד הראשון בהבסת תוכנות זדוניות

תוכן עניינים:

חסימת מאקרו היא רק הצעד הראשון בהבסת תוכנות זדוניות
חסימת מאקרו היא רק הצעד הראשון בהבסת תוכנות זדוניות
Anonim

מזונות חשובים

  • ההחלטה של מיקרוסופט לחסום פקודות מאקרו תגזול משחקני האיום את האמצעי הפופולרי הזה להפצת תוכנות זדוניות.
  • עם זאת, החוקרים מציינים כי פושעי סייבר כבר שינו שיטות והפחיתו משמעותית את השימוש בפקודות מאקרו בקמפיינים אחרונים של תוכנות זדוניות.
  • חסימת פקודות מאקרו היא צעד בכיוון הנכון, אבל בסופו של יום, אנשים צריכים להיות ערניים יותר כדי להימנע מהידבקות, מציעים מומחים.
Image
Image

בעוד שמיקרוסופט לקחה את הזמן המתוק שלה והחליטה לחסום פקודות מאקרו כברירת מחדל ב-Microsoft Office, שחקני איומים מיהרו לעקוף את המגבלה הזו ולתכנן וקטורי התקפה חדשים.

לפי מחקר חדש של ספק האבטחה Proofpoint, פקודות מאקרו אינן עוד האמצעי המועדף להפצת תוכנות זדוניות. השימוש בפקודות מאקרו נפוצות ירד בכ-66% בין אוקטובר 2021 ליוני 2022. מנגד, השימוש בקבצי ISO (תמונת דיסק) רשם עלייה של למעלה מ-150%, בעוד השימוש ב-LNK (Windows File Shortcut) הקבצים גדלו ב-1,675% באותה מסגרת זמן. סוגי קבצים אלה יכולים לעקוף את הגנות חסימת המאקרו של מיקרוסופט.

"שחקני איום המתרחקים מהפצה ישירה של קבצים מצורפים מבוססי מאקרו בדוא"ל מייצגים שינוי משמעותי בנוף האיומים", אמר שרוד דה-גריפו, סגן נשיא, מחקר וזיהוי איומים ב-Proofpoint, בהודעה לעיתונות. "שחקני איומים מאמצים כעת טקטיקות חדשות כדי לספק תוכנות זדוניות, והשימוש המוגבר בקבצים כגון ISO, LNK ו-RAR צפוי להימשך."

Moving With the Times

בהחלפת דוא ל עם Lifewire, הרמן סינג, מנהל ספקית שירותי אבטחת הסייבר Cyphere, תיאר פקודות מאקרו כתוכנות קטנות שניתן להשתמש בהן לאוטומציה של משימות ב-Microsoft Office, כאשר פקודות המאקרו XL4 ו-VBA הן פקודות המאקרו הנפוצות ביותר על ידי משתמשי Office.

מנקודת מבט של פשעי סייבר, סינג אמר ששחקני איום יכולים להשתמש בפקודות מאקרו עבור כמה מסעות פרסום די מגעילים. לדוגמה, פקודות מאקרו יכולות להפעיל שורות קוד זדוניות במחשב של הקורבן עם אותן הרשאות כמו האדם המחובר. שחקנים מאיימים יכולים להשתמש לרעה בגישה זו כדי לסנן נתונים ממחשב שנפגע או אפילו לתפוס תוכן זדוני נוסף משרתי התוכנה הזדונית כדי למשוך תוכנות זדוניות מזיקות עוד יותר.

עם זאת, סינג מיהר להוסיף ש-Office היא לא הדרך היחידה להדביק מערכות מחשב, אבל "זה אחד מהיעדים הפופולריים ביותר בגלל השימוש במסמכי Office על ידי כמעט כולם באינטרנט."

כדי לשלוט באיום, מיקרוסופט החלה לתייג כמה מסמכים ממיקומים לא מהימנים, כמו האינטרנט, עם התכונה Mark of the Web (MOTW), מחרוזת קוד שמייעדת להפעיל תכונות אבטחה.

במחקר שלהם, Proofpoint טוענים שהירידה בשימוש בפקודות מאקרו היא תגובה ישירה להחלטתה של מיקרוסופט לתייג את תכונת MOTW לקבצים.

סינג לא מופתע. הוא הסביר שארכיונים דחוסים כמו קובצי ISO ו-RAR אינם מסתמכים על Office ויכולים להריץ קוד זדוני בעצמם. "ברור ששינוי טקטיקות הוא חלק מהאסטרטגיה של פושעי סייבר כדי להבטיח שהם ישקיעו את מאמציהם בשיטת ההתקפה הטובה ביותר שיש לה את ההסתברות הגבוהה ביותר [להדביק אנשים]."

מכיל תוכנה זדונית

הטמעת תוכנות זדוניות בקבצים דחוסים כמו קובצי ISO ו-RAR גם עוזרת להתחמק מטכניקות זיהוי המתמקדות בניתוח המבנה או הפורמט של קבצים, הסביר סינג. "לדוגמה, זיהויים רבים עבור קובצי ISO ו-RAR מבוססים על חתימות קבצים, אותן ניתן להסיר בקלות על ידי דחיסה של קובץ ISO או RAR בשיטת דחיסה אחרת."

Image
Image

לפי Proofpoint, בדיוק כמו פקודות המאקרו הזדוניות שלפניהן, האמצעי הפופולרי ביותר להעברה של ארכיונים עמוסי תוכנות זדוניות אלה הוא באמצעות דואר אלקטרוני.

המחקר של Proofpoint מבוסס על מעקב אחר פעילויות של גורמי איומים שונים ידועים לשמצה. הוא ראה את השימוש במנגנוני הגישה הראשוניים החדשים בשימוש על ידי קבוצות שמפיצות את Bumblebee, ואת התוכנה הזדונית של Emotet, כמו גם על ידי מספר פושעי סייבר אחרים, עבור כל מיני תוכנות זדוניות.

"יותר ממחצית מ-15 גורמי האיומים במעקב שהשתמשו בקובצי ISO [בין אוקטובר 2021 ליוני 2022] החלו להשתמש בהם בקמפיינים לאחר ינואר 2022", הדגיש Proofpoint.

כדי לחזק את ההגנה שלך מפני השינויים האלה בטקטיקות של שחקני האיום, סינג מציע לאנשים להיזהר מהודעות דוא ל לא רצויות. הוא גם מזהיר אנשים מפני לחיצה על קישורים ופתיחת קבצים מצורפים אלא אם כן הם בטוחים מעל לכל ספק שהקבצים האלה בטוחים.

"אל תבטח בשום מקורות אלא אם כן אתה מצפה להודעה עם קובץ מצורף", חזר סינג. "סמוך, אבל אמת, למשל, התקשר לאיש הקשר לפני [פתיחת קובץ מצורף] כדי לראות אם זה באמת אימייל חשוב מהחבר שלך או זדוני מהחשבונות שלו שנפגעו."

מוּמלָץ: