Gli attori delle minacce stanno aggirando il blocco predefinito di Microsoft delle macro nella sua suite Office, utilizzando file alternativi per ospitare payload dannosi ora che un canale primario per la consegna delle minacce è stato interrotto, hanno scoperto i ricercatori.
L'uso di allegati abilitati alle macro da parte degli attori delle minacce è diminuito di circa il 66% tra ottobre 2021 e giugno 2022, secondo i nuovi dati di Proofpoint rivelati in un post sul blog giovedì. L'inizio della diminuzione ha coinciso con il piano di Microsoft di iniziare a bloccare le macro XL4 per impostazione predefinita per gli utenti di Excel, seguito dal blocco delle macro VBA per impostazione predefinita in tutta la suite Office quest'anno.
Gli attori delle minacce, dimostrando la loro tipica resilienza, finora sembrano imperterriti dalla mossa, che segna "uno dei più grandi cambiamenti nel panorama delle minacce e-mail nella storia recente", hanno detto i ricercatori Selena Larson, Daniel Blackford e altri del Proofpoint Threat Research Team.
Sebbene i criminali informatici per ora continuino a utilizzare macro in documenti dannosi utilizzati nelle campagne di phishing, hanno anche iniziato a ruotare attorno alla strategia di difesa di Microsoft rivolgendosi ad altri tipi di file come contenitori per malware, vale a dire, file contenitore come allegati ISO e RAR e file Windows Shortcut (LNK).
Infatti, nello stesso lasso di tempo di otto mesi in cui l'uso di documenti abilitati alle macro è diminuito, il numero di campagne dannose che sfruttano i file contenitore tra cui allegati ISO, RAR e LNK è aumentato di quasi il 175%.
"È probabile che gli attori delle minacce continueranno a utilizzare i formati di file contenitore per distribuire malware, facendo meno affidamento sugli allegati abilitati alle macro", hanno osservato.
Macro non più?
Le macro, utilizzate per automatizzare le attività utilizzate di frequente in Office, sono state tra i modi più popolari per distribuire malware in allegati di posta elettronica dannosi per almeno la maggior parte di un decennio, in quanto possono essere consentite con un semplice clic del mouse da parte dell'utente quando richiesto.
Le macro sono state a lungo disabilitate per impostazione predefinita in Office, anche se gli utenti potevano sempre abilitarle, il che ha permesso agli autori delle minacce di utilizzare sia le macro VBA, che possono eseguire automaticamente contenuti dannosi quando le macro sono abilitate nelle app di Office, sia le macro XL4 specifiche di Excel. In genere gli attori utilizzano campagne di phishing di ingegneria sociale per convincere le vittime dell'urgenza di abilitare le macro in modo che possano aprire quelli che non sanno essere allegati di file dannosi.
Mentre la mossa di Microsoft di bloccare completamente le macro finora non ha scoraggiato gli attori delle minacce dall'utilizzarle interamente, ha stimolato questo notevole spostamento verso altre tattiche, hanno detto i ricercatori di Proofpoint.
La chiave di questo cambiamento sono le tattiche per aggirare il metodo di Microsoft per bloccare le macro VBA basate su un attributo Mark of the Web (MOTW) che mostra se un file proviene da Internet noto come Zone.Identifier, hanno osservato i ricercatori.
"Le applicazioni Microsoft aggiungono questo ad alcuni documenti quando vengono scaricati dal web", hanno scritto. "Tuttavia, MOTW può essere aggirato utilizzando i formati di file contenitore."
In effetti, la società di sicurezza IT Outflank ha convenientemente dettagliato più opzioni per gli hacker etici specializzati nella simulazione di attacco, noti come "red teamer", per aggirare i meccanismi MOTW, secondo Proofpoint. Il post non sembra essere passato inosservato agli attori delle minacce, poiché anche loro hanno iniziato a implementare queste tattiche, hanno detto i ricercatori.
Formato file Switcheroo
Per aggirare il blocco delle macro, gli aggressori utilizzano sempre più formati di file come ISO (.iso), RAR (.rar), ZIP (.zip) e file IMG (.img) per inviare documenti con attivazione macro. Questo perché anche se i file stessi avranno l'attributo MOTW, il documento all'interno, come un foglio di calcolo con attivazione macro, non lo farà, hanno osservato i ricercatori.
"Quando il documento viene estratto, l'utente dovrà comunque abilitare le macro per l'esecuzione automatica del codice dannoso, ma il file system non identificherà il documento come proveniente dal web", hanno scritto nel post.
Inoltre, gli attori delle minacce possono utilizzare i file contenitore per distribuire direttamente i payload aggiungendo contenuti aggiuntivi come LNK, DLL o file eseguibili (.exe) che possono essere utilizzati per eseguire un payload dannoso, hanno detto i ricercatori.
Proofpoint ha anche visto un leggero aumento nell'abuso di file XLL, un tipo di file DLL (Dynamic Link Library) per Excel, anche in campagne dannose, anche se non un aumento significativo come l'uso di file ISO, RAR e LNK, hanno notato.