Clau per emportar
- La decisió de Microsoft de bloquejar macros robarà als actors de les amenaces aquest mitjà popular per distribuir programari maliciós.
- No obstant això, els investigadors assenyalen que els ciberdelinqüents ja han canviat d'orientació i han reduït significativament l'ús de macros en campanyes recents de programari maliciós.
- Bloquejar macros és un pas en la direcció correcta, però al cap i a la fi, la gent ha d'estar més alerta per evitar infectar-se, suggereixen els experts.
Si bé Microsoft es va prendre el seu propi moment per decidir bloquejar les macros de manera predeterminada a Microsoft Office, els actors de les amenaces es van esbrinar ràpidament per solucionar aquesta limitació i van idear nous vectors d'atac.
Segons una nova investigació del proveïdor de seguretat Proofpoint, les macros ja no són el mitjà preferit per distribuir programari maliciós. L'ús de macros comunes va disminuir aproximadament un 66% entre octubre de 2021 i juny de 2022. D' altra banda, l'ús de fitxers ISO (una imatge de disc) va registrar un augment superior al 150%, mentre que l'ús de LNK (Windows File Shortcut) els fitxers van augmentar un 1, 675% en el mateix període de temps. Aquests tipus de fitxers poden evitar les proteccions de bloqueig de macros de Microsoft.
"Els actors de l'amenaça que s'allunyen de la distribució directa d'arxius adjunts basats en macros al correu electrònic representa un canvi significatiu en el panorama de les amenaces", va dir Sherrod DeGrippo, vicepresident d'Investigació i detecció d'amenaces de Proofpoint, en un comunicat de premsa. "Els actors de les amenaces estan adoptant noves tàctiques per oferir programari maliciós i s'espera que continuï l'ús creixent de fitxers com ISO, LNK i RAR."
Moving With the Times
En un intercanvi de correu electrònic amb Lifewire, Harman Singh, director del proveïdor de serveis de ciberseguretat Cyphere, va descriure les macros com a petits programes que es poden utilitzar per automatitzar tasques a Microsoft Office, sent les macros XL4 i VBA les macros més utilitzades per Usuaris d'Office.
Des d'una perspectiva de cibercrim, Singh va dir que els actors d'amenaça poden utilitzar macros per a campanyes d'atac força desagradables. Per exemple, les macros poden executar línies de codi malicioses a l'ordinador d'una víctima amb els mateixos privilegis que la persona que ha iniciat sessió. Els actors de l'amenaça poden abusar d'aquest accés per extreure dades d'un ordinador compromès o fins i tot per agafar contingut maliciós addicional dels servidors del programari maliciós per incorporar programari maliciós encara més perjudicial.
No obstant això, Singh va afegir ràpidament que Office no és l'única manera d'infectar els sistemes informàtics, sinó que "és un dels [objectius] més populars a causa de l'ús de documents d'Office per gairebé tothom a Internet."
Per reinar en l'amenaça, Microsoft va començar a etiquetar alguns documents d'ubicacions no fiables, com Internet, amb l'atribut Marca de la web (MOTW), una cadena de codi que designa funcions de seguretat activadores.
En la seva investigació, Proofpoint afirma que la disminució de l'ús de macros és una resposta directa a la decisió de Microsoft d'etiquetar l'atribut MOTW als fitxers.
Singh no està sorprès. Va explicar que els arxius comprimits com els fitxers ISO i RAR no depenen d'Office i poden executar codi maliciós per si mateixos. "És obvi que canviar les tàctiques forma part de l'estratègia dels ciberdelinqüents per assegurar-se que s'esforçin en el millor mètode d'atac que tingui la probabilitat més alta d'[infectar persones]".
que conté programari maliciós
La inserció de programari maliciós en fitxers comprimits com els fitxers ISO i RAR també ajuda a evadir les tècniques de detecció que se centren a analitzar l'estructura o el format dels fitxers, va explicar Singh. "Per exemple, moltes deteccions de fitxers ISO i RAR es basen en signatures de fitxers, que es poden eliminar fàcilment comprimint un fitxer ISO o RAR amb un altre mètode de compressió."
Segons Proofpoint, igual que les macros malicioses anteriors, el mitjà més popular per transportar aquests arxius carregats de programari maliciós és el correu electrònic.
La investigació de Proofpoint es basa en el seguiment de les activitats de diversos actors d'amenaça notoris. Va observar l'ús dels nous mecanismes d'accés inicial que utilitzen els grups que distribueixen Bumblebee i el programari maliciós Emotet, així com diversos altres ciberdelinqüents, per a tot tipus de programari maliciós.
"Més de la meitat dels 15 actors d'amenaça rastrejats que van utilitzar fitxers ISO [entre octubre de 2021 i juny de 2022] van començar a utilitzar-los en campanyes després de gener de 2022", va destacar Proofpoint.
Per tal de reforçar la vostra defensa contra aquests canvis en les tàctiques dels actors de l'amenaça, Singh suggereix que la gent desconfii dels correus electrònics no sol·licitats. També adverteix a les persones que no facin clic als enllaços i obrin fitxers adjunts tret que estiguin segurs sense cap mena de dubte que aquests fitxers són segurs.
"No confieu en cap font tret que espereu un missatge amb un fitxer adjunt", va reiterar Singh. "Confia, però verifiqueu, per exemple, truqueu al contacte abans [d'obrir un fitxer adjunt] per veure si realment és un correu electrònic important del vostre amic o un maliciós dels seus comptes compromesos."
