Хакеры, которые обычно распространяли вредоносное ПО через фишинговые вложения с вредоносными макросами, постепенно изменили тактику и перешли на новые типы файлов.
После того, как Microsoft Office начал блокировку сценариев по умолчанию, злодеи маскируют малварь под ISO, RAR и Windows Shortcut (LNK)
Макросы VBA и XL4 — это небольшие программы, созданные для автоматизации повторяющихся задач в приложениях Microsoft Office, которыми злоумышленники злоупотребляют для загрузки или установки малварей через вредоносные вложения документов Microsoft Office, отправленные в фишинговых электронных письмах.
Причина по которой Microsoft заблокировала автоматический запуск макросов в Office, банальна: «дыру» в целой экосистеме офисных программ от мелкомягких не эксплуатировал только самый ленивый хакер.
Мега-корпорация так долго «поворачивалась», то вводя запрет, то отменяя его следующим обновлением системы, что хакеры устали ждать переключили свое внимание на другие типы файлов. На самом деле, решение использовать иные средства доставки вредоносов, возникло у злодеев сразу после анонса блокировки макросов в Office.
Хакеры отказываются от макросов
Компания Proofpoint, специализирующаяся на вопросах кибербезопасности корпоративного уровня, выкатила отчет, в котором исследователи дают статистику вредоносных кампаний в период с октября 2021 года по июнь 2022 года. В этом отчёте акцентирован явный переход хакеров к альтернативным методам распределения полезной нагрузки и зафиксировано резкое снижение использования макросов на 66%.
В то же время использование файлов-контейнеров, таких как ISO, ZIP и RAR, неуклонно растет, увеличившись почти на 175%.
Причём всплеск использования файлов LNK начался сразу после заявления корпорации Microsoft в феврале 2022 года, в котором она рассказала о блокировке макросов. И сразу рост интереса к контейнерам для доставки малварей показал колоссальные значения: на 1 675% по сравнению с октябрем 2021 года увеличилось использования LNK в хакерских кампаниях.
В файлы LNK «заворачивали» зловреды в кампаниях Emotet, Qbot и IcedID, маскируя их под документы Word для обмана получателя, который ничего не подозревая, открывал вредонос.
«Бережно упакованное зло» можно использовать для выполнения практически любой команды, на которую у пользователя есть разрешение, включая запуск сценариев PowerShell, которые загружают и выполняют вредоносные программы из удаленных источников.
Выдыхать уже можно?
Компания Microsoft, которая с очередным обновлением все-таки ввела запрет на автоматический запуск макросов в офисных продуктах собственной разработки, может поставить себе «плюсик» и повесить медальку. Однако в плане общей безопасности ситуация для пользователей не изменилась. Угроза просто сместилась, а не была устранена или уменьшена.
Вопрос, на который сейчас специалисты пытаются ответить, заключается в том, как это изменение повлияет на эффективность вредоносных кампаний? Всё-таки убедить получателей открыть .docx и .xls файлы мошенникам было намного проще, чем попросить их сначала скачать, потом распаковать архивы и только после этого запустить файлы, имена которых заканчиваются на .lnk.
Кроме того, чтобы обойти обнаружение антивирусными программами, многие фишинговые кампании архивные вложения защищают паролем, добавляя еще один обременительный шаг, который цель должна предпринять для доступа к вредоносным файлам.
С этой точки зрения у злоумышленников, полагающихся на фишинговые электронные письма, могут закончиться хорошие варианты, и в результате «сектор поражения», возможно, сильно уменьшится.
Ну и наконец, спектр задач для антивирусного ПО, мониторящего электронную почту, сужается. А это уже существенно повышает эффективность в борьбе с, упакованными в контейнеры, малварями.