Οι φορείς απειλών ενσωματώνουν έγγραφα του Office με δυνατότητα μακροεντολής σε αρχεία κοντέινερ, όπως αρχεία και εικόνες δίσκου, για να παρακάμψουν μια δυνατότητα αποκλεισμού μακροεντολών που κυκλοφόρησε πρόσφατα στο Microsoft Office.
Αρχικά ανακοινώθηκε τον Φεβρουάριο, η λειτουργία αποκλεισμού μακροεντολών αποσκοπεί στην αποτροπή επιθέσεων ηλεκτρονικού “ψαρέματος” (phishing) καθιστώντας πιο δύσκολο για τους χρήστες να ενεργοποιήσουν τις μακροεντολές σε έγγραφα που λαμβάνονται από το Διαδίκτυο.
Μικρά αποσπάσματα κώδικα που είναι ενσωματωμένα σε έγγραφα του Office, μακροεντολές έχουν γίνει από καιρό κατάχρηση από παράγοντες απειλών σε επιθέσεις phishing και για παράδοση κακόβουλου λογισμικού.
Το 2016, η Microsoft απενεργοποίησε την αυτοματοποιημένη εκτέλεση μακροεντολών σε έγγραφα του Office που ελήφθησαν από το Διαδίκτυο, αλλά επέτρεψε στους χρήστες να τις ενεργοποιήσουν με ένα μόνο κλικ.
Οι αντίπαλοι χρησιμοποιούν διάφορες τεχνικές κοινωνικής μηχανικής για να εξαπατήσουν τους χρήστες ώστε να ενεργοποιήσουν τις μακροεντολές και η Microsoft ανακοίνωσε τον Φεβρουάριο έναν νέο μηχανισμό για τον αποκλεισμό των μακροεντολών από προεπιλογή σε έγγραφα που λαμβάνονται από το Διαδίκτυο.
Μια κόκκινη ειδοποίηση στο επάνω μέρος της σελίδας προειδοποιεί τους χρήστες ότι οι μακροεντολές έχουν αποκλειστεί και, εάν κάνουν κλικ, τους μεταφέρει σε ένα άρθρο ιστού που εξηγεί τους κινδύνους που σχετίζονται με τις κακόβουλες μακροεντολές.
Αυτήν τη στιγμή κυκλοφορεί σε Access, Excel, PowerPoint, Visio και Word στα Windows, η δυνατότητα ουσιαστικά σφραγίζει αυτά τα έγγραφα με ένα “Mark Of The Web” (MOTW) που μπορεί να αφαιρεθεί εάν ο χρήστης αποθηκεύσει το έγγραφο στον τοπικό δίσκο.
Για να παρακάμψουν τον μηχανισμό και να διασφαλίσουν την άμεση εκτέλεση των ενσωματωμένων μακροεντολών, οι φορείς απειλών παραδίδουν τώρα έγγραφα του Office μέσα σε μορφές αρχείων κοντέινερ όπως IMG (.img), ISO (.iso), RAR (.rar) και ZIP (.zip ), προειδοποιεί η Proofpoint.
“Κατά τη λήψη, τα αρχεία ISO, RAR κ.λπ. θα έχουν το χαρακτηριστικό MOTW επειδή έχουν ληφθεί από το Διαδίκτυο, αλλά το έγγραφο μέσα, όπως ένα υπολογιστικό φύλλο με δυνατότητα μακροεντολής, δεν θα”, εξηγεί η Proofpoint.
Ενώ ο χρήστης θα πρέπει ακόμα να ενεργοποιήσει τις μακροεντολές στο εξαγόμενο έγγραφο, το σύστημα δεν θα βλέπει πλέον το έγγραφο ως προερχόμενο από το διαδίκτυο και δεν θα εφαρμόζει το υψηλότερο επίπεδο προστασίας.
Τα αρχεία κοντέινερ έχουν επίσης χρησιμοποιηθεί για την απευθείας διανομή ωφέλιμων φορτίων, συμπεριλαμβανομένων των αρχείων συντόμευσης (.lnk), των DLL και των εκτελέσιμων αρχείων (.exe) που επιτρέπουν την άμεση εγκατάσταση κακόβουλου λογισμικού.
Μεταξύ Οκτωβρίου 2021 και Ιουνίου 2022, η Proofpoint παρατήρησε μια απότομη μείωση στα έγγραφα με δυνατότητα μακροεντολής που παραδίδονται ως συνημμένα email, αλλά παρατήρησε μια τεράστια αύξηση στη χρήση αρχείων ISO, RAR και LNK κατά το ίδιο χρονικό διάστημα. Η χρήση αρχείων LNK αυξήθηκε κατά 1.675% από τον Οκτώβριο του 2021.
«Οι παράγοντες απειλών σε όλο το τοπίο απειλών απομακρύνονται από έγγραφα με δυνατότητα μακροεντολής για να χρησιμοποιούν όλο και περισσότερο διαφορετικούς τύπους αρχείων για αρχική πρόσβαση. Αυτή η αλλαγή οφείλεται στην υιοθέτηση ISO και άλλων μορφών αρχείων κοντέινερ, καθώς και αρχείων LNK. Τέτοιοι τύποι αρχείων μπορούν να παρακάμψουν τις προστασίες αποκλεισμού μακροεντολών της Microsoft, καθώς και να διευκολύνουν τη διανομή εκτελέσιμων αρχείων που μπορεί να οδηγήσουν σε επόμενο κακόβουλο λογισμικό, αναγνώριση και κλοπή δεδομένων και ransomware», καταλήγει η Proofpoint.