Key Takeaways
- Die Entscheidung von Microsoft, Makros zu blockieren, wird Angreifern dieses beliebte Mittel zur Verbreitung von Malware nehmen.
- Forscher stellen jedoch fest, dass Cyberkriminelle bereits ihre Vorgehensweise geändert und den Einsatz von Makros in den letzten Malware-Kampagnen erheblich reduziert haben.
- Das Blockieren von Makros ist ein Schritt in die richtige Richtung, aber letztendlich müssen die Menschen wachsamer sein, um eine Infektion zu vermeiden, schlagen Experten vor.
Während Microsoft sich viel Zeit nahm, um zu entscheiden, Makros standardmäßig in Microsoft Office zu blockieren, haben Bedrohungsakteure diese Einschränkung schnell umgangen und neue Angriffsvektoren entwickelt.
Nach neuen Untersuchungen des Sicherheitsanbieters Proofpoint sind Makros nicht mehr das beliebteste Mittel zur Verbreitung von Malware. Die Verwendung gängiger Makros ging zwischen Oktober 2021 und Juni 2022 um etwa 66 % zurück. Andererseits verzeichnete die Verwendung von ISO-Dateien (ein Disk-Image) einen Anstieg von über 150 %, während die Verwendung von LNK (Windows File Shortcut) Dateien stiegen im gleichen Zeitraum um erstaunliche 1.675 %. Diese Dateitypen können den Makroblockierungsschutz von Microsoft umgehen.
"Bedrohungsakteure, die sich von der direkten Verteilung makrobasierter Anhänge in E-Mails abwenden, stellen eine bedeutende Veränderung in der Bedrohungslandschaft dar", sagte Sherrod DeGrippo, Vice President, Threat Research and Detection bei Proofpoint, in einer Pressemitteilung. "Bedrohungsakteure wenden jetzt neue Taktiken an, um Malware zu verbreiten, und es wird erwartet, dass die verstärkte Verwendung von Dateien wie ISO, LNK und RAR anhält."
Mit der Zeit gehen
In einem E-Mail-Austausch mit Lifewire beschrieb Harman Singh, Direktor des Cybersicherheitsdienstleisters Cyphere, Makros als kleine Programme, die zur Automatisierung von Aufgaben in Microsoft Office verwendet werden können, wobei XL4- und VBA-Makros die am häufigsten verwendeten Makros sind Office-Benutzer.
Aus Sicht der Cyberkriminalität sagte Singh, dass Bedrohungsakteure Makros für einige ziemlich böse Angriffskampagnen verwenden können. Beispielsweise können Makros bösartige Codezeilen auf dem Computer eines Opfers mit den gleichen Rechten wie die angemeldete Person ausführen. Bedrohungsakteure können diesen Zugriff missbrauchen, um Daten von einem kompromittierten Computer zu exfiltrieren oder sogar zusätzliche schädliche Inh alte von den Servern der Malware abzugreifen, um noch schädlichere Malware einzuschleusen.
Singh fügte jedoch schnell hinzu, dass Office nicht der einzige Weg sei, Computersysteme zu infizieren, sondern „es eines der beliebtesten [Ziele] ist, da fast jeder im Internet Office-Dokumente verwendet."
Um der Bedrohung Herr zu werden, begann Microsoft, einige Dokumente von nicht vertrauenswürdigen Orten, wie dem Internet, mit dem Attribut Mark of the Web (MOTW) zu markieren, einer Codefolge, die Sicherheitsfunktionen auslöst.
In seiner Forschung behauptet Proofpoint, dass der Rückgang der Verwendung von Makros eine direkte Reaktion auf die Entscheidung von Microsoft ist, Dateien mit dem MOTW-Attribut zu versehen.
Singh ist nicht überrascht. Er erklärte, dass komprimierte Archive wie ISO- und RAR-Dateien nicht auf Office angewiesen sind und selbst schädlichen Code ausführen können. „Es ist offensichtlich, dass die Änderung der Taktik Teil der Strategie von Cyberkriminellen ist, um sicherzustellen, dass sie sich auf die beste Angriffsmethode konzentrieren, die die höchste Wahrscheinlichkeit hat, [Menschen zu infizieren].“
Enthält Malware
Das Einbetten von Malware in komprimierte Dateien wie ISO- und RAR-Dateien hilft auch, Erkennungstechniken zu umgehen, die sich auf die Analyse der Struktur oder des Formats von Dateien konzentrieren, erklärte Singh. "Zum Beispiel basieren viele Erkennungen für ISO- und RAR-Dateien auf Dateisignaturen, die leicht entfernt werden können, indem eine ISO- oder RAR-Datei mit einer anderen Komprimierungsmethode komprimiert wird."
Laut Proofpoint ist E-Mail der beliebteste Weg, diese mit Malware beladenen Archive zu transportieren, genau wie die bösartigen Makros vor ihnen.
Die Forschung von Proofpoint basiert auf der Verfolgung von Aktivitäten verschiedener berüchtigter Bedrohungsakteure. Es beobachtete die Verwendung der neuen Erstzugriffsmechanismen, die von Gruppen, die Bumblebee und die Emotet-Malware verbreiten, sowie von mehreren anderen Cyberkriminellen für alle Arten von Malware verwendet wurden.
"Mehr als die Hälfte der 15 verfolgten Bedrohungsakteure, die ISO-Dateien [zwischen Oktober 2021 und Juni 2022] verwendeten, begannen, sie nach Januar 2022 in Kampagnen zu verwenden", hob Proofpoint hervor.
Um Ihre Verteidigung gegen diese Änderungen in den Taktiken der Bedrohungsakteure zu stärken, rät Singh den Menschen, sich vor unerwünschten E-Mails zu hüten. Er warnt auch davor, auf Links zu klicken und Anhänge zu öffnen, es sei denn, sie sind sich zweifelsfrei sicher, dass diese Dateien sicher sind.
"Vertraue keiner Quelle, es sei denn, du erwartest eine Nachricht mit Anhang", wiederholte Singh. „Vertrauen Sie, aber überprüfen Sie, rufen Sie zum Beispiel den Kontakt an, bevor Sie [einen Anhang öffnen], um zu sehen, ob es sich wirklich um eine wichtige E-Mail von Ihrem Freund oder um eine böswillige von dessen kompromittierten Konten handelt."