Theo báo cáo, việc sử dụng macro độc hại của các nhóm tội phạm mạng đã giảm đáng kinh ngạc 66% kể từ tháng 10 năm ngoái. nghiên cứu được phát hành bởi Proofpoint vào ngày 28 tháng 7. Đây có thể là một trong những thay đổi lớn nhất trong lịch sử về bối cảnh mối đe dọa qua email.
Thay đổi này chủ yếu là kết quả của quyết định của Microsoft về việc vô hiệu hóa các macro dành riêng cho Excel XL4 và Visual Basic for Application (VBA) trong bộ Office như một phần của một loạt các thay đổi chính sách bắt đầu từ mùa thu năm 2013.
Tội phạm mạng sử dụng macro để hack người dùng
Tội phạm mạng thường xuyên sử dụng macro để lừa người tiêu dùng thực thi phần mềm độc hại sau khi tải xuống tài liệu bị hỏng từ email lừa đảo.
Microsoft đã bổ sung thêm những trở ngại một cách hiệu quả bằng cách vô hiệu hóa khả năng thực thi macro theo mặc định và yêu cầu người dùng nhấp và đọc thêm thông tin về macro trước khi cho phép chúng chạy.
Sherrod DeGrippo, Phó Chủ tịch Nghiên cứu và Phát hiện mối đe dọa tại Proofpoint, cho biết hành động của Microsoft mang lại kết quả. Vào tháng 10 năm 2021, công ty thấy có ít hơn 70 chiến dịch sử dụng macro VBA nhưng đến tháng 6 năm 2022, con số này đã giảm xuống còn hơn 21 một chút.
“Việc các tác nhân đe dọa ngừng phân phối trực tiếp các tệp đính kèm email dựa trên macro thể hiện một sự thay đổi đáng kể trong bối cảnh mối đe dọa. Tin tặc đã áp dụng các chiến thuật mới để phát tán phần mềm độc hại và việc sử dụng ngày càng nhiều các tệp như ISOLNK và RAR dự kiến sẽ tiếp tục,” DeGrippo giải thích.
Theo DeGrippo, các tác nhân đe dọa được cho là đang quay lưng lại với các tài liệu có chức năng macro và thay vào đó ngày càng sử dụng các vectơ khác để xâm nhập vào những người không quen biết. Proofpoint dự đoán rằng điều gì đó tương tự có thể xảy ra.
Công cụ phát hiện email lừa đảo giúp người dùng tránh bị tấn công mạng
Ví dụ: các tệp đính kèm có tệp chứa như ISO và RAR ngày càng trở nên phổ biến. Trong cùng khoảng thời gian, khối lượng kết hợp của họ đã tăng hơn 200%, tăng từ khoảng 70 chiến dịch được theo dõi vào tháng 10 năm ngoái lên gần 200 chiến dịch vào tháng 6 năm nay.
Bằng cách này, tin tặc có thể tránh được biện pháp Mark of the Web (MOTW) mà Microsoft sử dụng để ngăn macro VBA chạy.
Mặc dù ISO và các tệp RAR có thuộc tính MOTW (vì chúng vẫn được tải xuống từ Internet), các tài liệu chứa trong đó sẽ không chạy mã nguy hiểm khi giải nén; thay vào đó, người dùng phải kích hoạt macro. Họ sẽ thỏa hiệp vì hệ thống của họ không nhận ra sự khác biệt.
Các tập tin thực thi khác, chẳng hạn như Windows Các tệp lối tắt (LNK) và Thư viện liên kết động (DLL), cũng có thể được tội phạm mạng phân phối trực tiếp bằng cách sử dụng các tệp chứa. Tháng 10 năm ngoái, Proofpoint chỉ chú ý đến một số chiến dịch LNK, nhưng đến tháng 6, con số đó đã tăng lên hơn 70 một chút.
Ngoài ra, có sự gia tăng nhỏ nhưng có ý nghĩa thống kê trong việc sử dụng tệp HTML cho các chức năng này.
Cuối cùng, phần mềm độc hại, ransomware, thông tin tình báo và đánh cắp dữ liệu đều có thể xảy ra, theo Proofpoint, nếu hệ thống mục tiêu bị xâm phạm và các tải trọng độc hại được thực thi trên đó.
Những sửa đổi được đánh giá cao nhưng chúng không dễ thực hiện. Microsoft đã kín đáo thay đổi chiến lược chặn mặc định vào đầu tháng 7 năm 2022, với lý do người dùng phàn nàn.
Mặc dù Microsoft thực hiện một số điều chỉnh chính sách nhất định nhưng hành động này đã bị đảo ngược; tuy nhiên, tính năng chặn mặc định hiện đã được khôi phục.
Microsoft từ chối bình luận về bản chất chính xác của những phản hồi tiêu cực. Tuy nhiên, Giám đốc sản phẩm Kelly Eickmeier cho biết: “Chúng tôi đã cập nhật cả tài liệu dành cho người dùng cuối và tài liệu dành cho quản trị viên CNTT để làm rõ các tùy chọn của bạn cho các tình huống khác nhau. Ví dụ: khi bạn có tệp trong SharePoint hoặc trên mạng chia sẻ,” trong một ghi chú phác thảo việc khôi phục chính sách.
Nhân viên bỏ qua các buổi đào tạo về an ninh mạng
DeGrippo và một số đồng nghiệp của cô trước đây đã bày tỏ sự thất vọng trước việc đình chỉ chính sách trong bối cảnh cộng đồng an ninh nói chung lo ngại.
Trước đây, DeGrippo và một số đồng nghiệp của cô đã bày tỏ sự sốc trước việc đình chỉ chính sách bất chấp sự lo lắng lan rộng trong toàn ngành an ninh.
Nhưng có vẻ như không có bất kỳ bằng chứng nào cho thấy những lần đảo chiều ban đầu và tiếp theo có bất kỳ ảnh hưởng nào đến xu hướng ngoài vĩ mô. DeGrippo đưa ra lời biện minh sau: “Các tác nhân đe dọa đã bắt đầu điều tra và triển khai các biện pháp vượt qua chặn macro khi thông báo xảy ra, vì vậy họ đã đi trước bất kỳ hoạt động triển khai thực tế nào”.
“Sự nhầm lẫn về thời điểm Microsoft tiếp tục chặn theo mặc định là tương đối ngắn ngủi và không có tác động đáng chú ý đến bối cảnh mối đe dọa. Chúng tôi sẽ tiếp tục thấy việc áp dụng các chiến thuật được mô tả trong blog ngày càng tăng khi việc chặn macro trở nên phổ biến hơn,” cô nói thêm.
