موارد مهم
- تصمیم مایکروسافت برای مسدود کردن ماکروها، عاملان تهدید را از این ابزار محبوب برای توزیع بدافزار سلب خواهد کرد.
- با این حال، محققان خاطرنشان می کنند که مجرمان سایبری قبلاً روش ها را تغییر داده اند و استفاده از ماکروها را در کمپین های اخیر بدافزارها به میزان قابل توجهی کاهش داده اند.
- مسدود کردن ماکروها گامی در جهت درست است، اما کارشناسان پیشنهاد می کنند در پایان روز، مردم برای جلوگیری از آلوده شدن باید هوشیارتر باشند.
در حالی که مایکروسافت زمان شیرین خود را برای مسدود کردن ماکروها به طور پیش فرض در مایکروسافت آفیس صرف کرد، عوامل تهدید سریعاً این محدودیت را برطرف کردند و بردارهای حمله جدید ابداع کردند.
طبق تحقیقات جدید توسط فروشنده امنیتی Proofpoint، ماکروها دیگر ابزار مورد علاقه برای توزیع بدافزار نیستند. استفاده از ماکروهای رایج بین اکتبر 2021 تا ژوئن 2022 تقریباً 66٪ کاهش یافت. از سوی دیگر، استفاده از فایل های ISO (تصویر دیسک) بیش از 150٪ افزایش یافت در حالی که استفاده از LNK (میانبر فایل ویندوز) فایلها در همان بازه زمانی ۱، ۶۷۵ درصد افزایش یافت. این نوع فایلها میتوانند محافظتهای مسدودسازی ماکرو مایکروسافت را دور بزنند.
"شرود دگریپو، معاون پژوهش و شناسایی تهدید در Proofpoint، در یک بیانیه مطبوعاتی گفت:" دور شدن بازیگران تهدید از توزیع مستقیم پیوستهای مبتنی بر کلان در ایمیل نشاندهنده تغییر قابل توجهی در چشمانداز تهدید است. "بازیگران تهدید اکنون تاکتیکهای جدیدی را برای ارائه بدافزار اتخاذ میکنند و انتظار میرود افزایش استفاده از فایلهایی مانند ISO، LNK و RAR ادامه یابد."
حرکت با زمان
در تبادل ایمیل با Lifewire، هارمن سینگ، مدیر ارائهدهنده خدمات امنیت سایبری Cyphere، ماکروها را برنامههای کوچکی توصیف کرد که میتوانند برای خودکارسازی وظایف در Microsoft Office مورد استفاده قرار گیرند و ماکروهای XL4 و VBA متداولترین ماکروهای مورد استفاده هستند. کاربران آفیس.
از دیدگاه جرایم سایبری، سینگ گفت که عوامل تهدید می توانند از ماکروها برای برخی کمپین های حمله بسیار بد استفاده کنند. به عنوان مثال، ماکروها می توانند خطوط کد مخرب را با همان امتیازات شخصی که وارد سیستم شده است، روی رایانه قربانی اجرا کنند. عوامل تهدید میتوانند از این دسترسی برای استخراج دادهها از یک رایانه در معرض خطر سوء استفاده کنند یا حتی محتوای مخرب اضافی را از سرورهای بدافزار بگیرند تا بدافزار مخربتر را وارد کنند.
با این حال، سینگ به سرعت اضافه کرد که آفیس تنها راه برای آلوده کردن سیستمهای کامپیوتری نیست، اما «به دلیل استفاده از اسناد آفیس توسط تقریباً همه افراد در اینترنت، یکی از محبوبترین [هدفها] است."
برای حکومت بر این تهدید، مایکروسافت شروع به برچسبگذاری برخی اسناد از مکانهای غیرقابل اعتماد، مانند اینترنت، با ویژگی Mark of the Web (MOTW) کرد، رشتهای از کد که ویژگیهای امنیتی را فعال میکند.
در تحقیقات خود، Proofpoint ادعا می کند که کاهش استفاده از ماکروها پاسخی مستقیم به تصمیم مایکروسافت برای برچسب زدن ویژگی MOTW به فایل ها است.
سینگ تعجب نکرده است. او توضیح داد که بایگانی های فشرده مانند فایل های ISO و RAR به Office متکی نیستند و می توانند کدهای مخرب را به تنهایی اجرا کنند. بدیهی است که تغییر تاکتیکها بخشی از استراتژی مجرمان سایبری است تا اطمینان حاصل کنند که تلاش خود را بر روی بهترین روش حمله به کار میگیرند که بیشترین احتمال را برای [آلوده کردن افراد] دارد.»
حاوی بدافزار
سینگ توضیح داد کهجاسازی بدافزار در فایلهای فشردهشده مانند فایلهای ISO و RAR نیز به فرار از تکنیکهای تشخیص که بر تجزیه و تحلیل ساختار یا قالب فایلها تمرکز دارند، کمک میکند. برای مثال، بسیاری از تشخیصها برای فایلهای ISO و RAR بر اساس امضاهای فایل است که میتوان آنها را به راحتی با فشردهسازی یک فایل ISO یا RAR با روش فشردهسازی دیگری حذف کرد.»
طبق گفته Proofpoint، درست مانند ماکروهای مخرب قبل از آنها، محبوب ترین وسیله برای انتقال این آرشیوهای مملو از بدافزار از طریق ایمیل است.
تحقیق Proofpoint بر اساس ردیابی فعالیتهای مختلف بازیگران تهدید معروف است. استفاده از مکانیسمهای دسترسی اولیه جدید توسط گروههایی که Bumblebee را توزیع میکنند، و بدافزار Emotet، و همچنین چندین مجرم سایبری دیگر، برای انواع بدافزارها مشاهده کرد.
"بیش از نیمی از 15 عامل تهدید ردیابی شده که از فایل های ISO استفاده می کردند [بین اکتبر 2021 تا ژوئن 2022] استفاده از آنها را در کمپین های پس از ژانویه 2022 آغاز کردند." Proofpoint برجسته شد.
برای تقویت دفاع خود در برابر این تغییرات در تاکتیکهای بازیگران تهدید، سینگ به مردم پیشنهاد میکند که مراقب ایمیلهای ناخواسته باشند. او همچنین به مردم هشدار میدهد که روی پیوندها کلیک نکنند و پیوستها را باز کنند، مگر اینکه بدون شک از ایمن بودن این فایلها مطمئن باشند.
سینگ تکرار کرد: "به هیچ منبعی اعتماد نکنید مگر اینکه منتظر پیامی با پیوست باشید." «اعتماد کنید، اما تأیید کنید، برای مثال، قبل از [باز کردن یک پیوست] با مخاطب تماس بگیرید تا ببینید آیا واقعاً ایمیل مهمی از طرف دوست شما است یا یک ایمیل مخرب از حساب های در معرض خطر آنها."
