Əsas Çıxarışlar
- Microsoft-un makroları bloklamaq qərarı təhdid edənləri zərərli proqramların yayılması üçün bu məşhur vasitədən məhrum edəcək.
- Lakin tədqiqatçılar qeyd edirlər ki, kibercinayətkarlar son zərərli proqram kampaniyalarında artıq cızıqları dəyişib və makrolardan istifadəni əhəmiyyətli dərəcədə azaldıblar.
- Makroların bloklanması düzgün istiqamətdə atılmış bir addımdır, lakin günün sonunda insanlar yoluxmamaq üçün daha ayıq olmalıdırlar, mütəxəssislərə tövsiyə edin.
Microsoft, Microsoft Office-də defolt olaraq makroları bloklamaq qərarına gəlsə də, təhdid edənlər bu məhdudiyyəti tez bir zamanda həll etdilər və yeni hücum vektorları hazırladılar.
Təhlükəsizlik təchizatçısı Proofpoint tərəfindən aparılan yeni araşdırmaya görə, makrolar artıq zərərli proqramların yayılmasının sevimli vasitəsi deyil. Ümumi makrolardan istifadə 2021-ci ilin oktyabrından 2022-ci ilin iyun ayına qədər təxminən 66% azalıb. Digər tərəfdən, ISO fayllarının (disk şəkli) istifadəsi 150%-dən çox artım qeydə alıb, LNK (Windows Fayl Qısayolu) fayllar eyni vaxt çərçivəsində heyrətamiz 1,675% artıb. Bu fayl növləri Microsoftun makro bloklama mühafizəsini keçə bilər.
"Təhlükə iştirakçılarının birbaşa e-poçtda makro-əsaslı qoşmaları yaymaqdan uzaqlaşması təhdid mənzərəsində əhəmiyyətli dəyişikliyi təmsil edir", - Proofpoint-in Təhlükələrin Tədqiqi və Aşkarlanması üzrə vitse-prezidenti Şerrod DeQrippo mətbuata açıqlamasında bildirib. "Təhlükə iştirakçıları indi zərərli proqram təminatını çatdırmaq üçün yeni taktikalar tətbiq edirlər və ISO, LNK və RAR kimi faylların artan istifadəsinin davam edəcəyi gözlənilir."
Zamanla Hərəkət
Lifewire ilə e-poçt mübadiləsində, kibertəhlükəsizlik xidməti təminatçısı Cyphere-nin direktoru Harman Singh makroları Microsoft Office-də tapşırıqları avtomatlaşdırmaq üçün istifadə edilə bilən kiçik proqramlar kimi təsvir etdi, XL4 və VBA makroları isə ən çox istifadə edilən makrolardır. Ofis istifadəçiləri.
Kibercinayətkarlıq nöqteyi-nəzərindən Sinqh dedi ki, təhdid aktyorları bəzi olduqca pis hücum kampaniyaları üçün makrolardan istifadə edə bilərlər. Məsələn, makrolar zərərçəkmişin kompüterində daxil olan şəxslə eyni imtiyazlarla zərərli kod xətlərini icra edə bilər. Təhdid edənlər bu girişdən sui-istifadə edərək, təhlükəsi olan kompüterdən məlumatları çıxara və ya daha da zərərli proqramları cəlb etmək üçün zərərli proqramın serverlərindən əlavə zərərli məzmun götürə bilərlər.
Lakin Sinq tez əlavə etdi ki, Office kompüter sistemlərini yoluxdurmağın yeganə yolu deyil, lakin "İnternetdə demək olar ki, hər kəs tərəfindən Office sənədlərindən istifadə etdiyinə görə bu, ən populyar [hədəflərdən] biridir."
Təhlükədə hökmranlıq etmək üçün Microsoft internet kimi etibarsız yerlərdən bəzi sənədləri İnternetin İşarəsi (MOTW) atributu, tetikleyici təhlükəsizlik xüsusiyyətlərini təyin edən kod silsiləsi ilə işarələməyə başladı.
Araşdırmalarında Proofpoint iddia edir ki, makrolardan istifadənin azalması Microsoft-un MOTW atributunu fayllara işarələmək qərarına birbaşa cavabdır.
Singh təəccüblənmir. O izah etdi ki, ISO və RAR faylları kimi sıxılmış arxivlər Office-ə etibar etmir və özbaşına zərərli kodu işlədə bilər. "Aydındır ki, taktikaların dəyişdirilməsi kibercinayətkarların strategiyasının bir hissəsidir ki, onların səylərini [insanlara yoluxma] ən yüksək ehtimalı olan ən yaxşı hücum metoduna yönəldirlər."
Tərkibində Zərərli proqram var
Zərərli proqram təminatının ISO və RAR faylları kimi sıxılmış fayllara daxil edilməsi, həmçinin faylların strukturunu və ya formatını təhlil etməyə yönəlmiş aşkarlama üsullarından yayınmağa kömək edir, Singh izah etdi. "Məsələn, ISO və RAR faylları üçün bir çox aşkarlamalar fayl imzalarına əsaslanır və bu, ISO və ya RAR faylını başqa sıxılma üsulu ilə sıxmaqla asanlıqla silinə bilər."
Proofpoint-ə görə, onların qarşısındakı zərərli makrolar kimi, bu zərərli proqram yüklü arxivləri daşımaq üçün ən məşhur vasitə e-poçtdur.
Proofpoint-in tədqiqatı müxtəlif bədnam təhlükə aktorlarının fəaliyyətlərini izləməyə əsaslanır. O, Bumblebee və Emotet zərərli proqram təminatını yayan qruplar, eləcə də bir sıra digər kibercinayətkarlar tərəfindən bütün növ zərərli proqramlar üçün istifadə edilən yeni ilkin giriş mexanizmlərinin istifadəsini müşahidə edib.
"ISO fayllarından istifadə edən 15 izlənilən təhlükə aktyorunun yarısından çoxu [2021-ci ilin oktyabrı və 2022-ci ilin iyunu arasında] onlardan 2022-ci ilin yanvarından sonra kampaniyalarda istifadə etməyə başladı ", - Proofpoint vurğuladı.
Təhlükə aktorları tərəfindən taktikadakı bu dəyişikliklərə qarşı müdafiənizi gücləndirmək üçün Sinqh insanlara istənməyən e-poçtlardan ehtiyatlı olmağı təklif edir. O, həmçinin insanları bu faylların təhlükəsiz olduğuna şübhə etmədikcə, keçidlərə klikləmək və qoşmaları açmamaq barədə xəbərdarlıq edir.
"Əlavə olan mesaj gözləmədiyiniz halda heç bir mənbəyə etibar etməyin" deyə Sinq təkrarladı. “Güvən, amma yoxlayın, məsələn, [qoşmanı açmadan] əvvəl kontakta zəng edin ki, bu, həqiqətən də sizin dostunuzdan gələn vacib e-poçtdur, yoxsa onların oğurlanmış hesablarından zərərli məktubdur."