მთავარი წაღებები
- Microsoft-ის გადაწყვეტილება მაკროების დაბლოკვის შესახებ საფრთხეს უქმნის მავნე პროგრამის გავრცელების ამ პოპულარულ საშუალებას.
- თუმცა, მკვლევარები აღნიშნავენ, რომ კიბერკრიმინალებმა უკვე შეცვალეს ტაქტიკა და მნიშვნელოვნად შეამცირეს მაკროების გამოყენება ბოლო მავნე პროგრამების კამპანიებში.
- მაკროების დაბლოკვა სწორი მიმართულებით გადადგმული ნაბიჯია, მაგრამ დღის ბოლოს ადამიანები უფრო ფხიზლად უნდა იყვნენ, რათა არ დაინფიცირდნენ, ვარაუდობენ ექსპერტები.
მიუხედავად იმისა, რომ მაიკროსოფტმა მიიღო გადაწყვეტილება, დაებლოკა მაკროები ნაგულისხმევად Microsoft Office-ში, საფრთხის მოქმედი პირები სწრაფად ამუშავებდნენ ამ შეზღუდვას და შეიმუშავებდნენ თავდასხმის ახალ ვექტორებს.
უსაფრთხოების მომწოდებლის Proofpoint-ის ახალი კვლევის მიხედვით, მაკრო აღარ არის მავნე პროგრამების გავრცელების საყვარელი საშუალება. ჩვეულებრივი მაკროების გამოყენება შემცირდა დაახლოებით 66%-ით 2021 წლის ოქტომბრიდან 2022 წლის ივნისამდე. მეორეს მხრივ, ISO ფაილების გამოყენებამ (დისკის გამოსახულება) დაფიქსირდა 150%-ზე მეტი ზრდა, ხოლო LNK (Windows File Shortcut) გამოყენებამ. ფაილები გაიზარდა განსაცვიფრებელი 1, 675%-ით იმავე ვადაში. ფაილის ამ ტიპებს შეუძლიათ Microsoft-ის მაკრო დაბლოკვის დაცვის გვერდის ავლით.
"საფრთხის მოქმედი პირები, რომლებიც შორდებიან მაკროზე დაფუძნებული დანართების პირდაპირ გავრცელებას ელ.ფოსტაში, წარმოადგენს საფრთხის ლანდშაფტის მნიშვნელოვან ცვლილებას", - თქვა შეროდ დეგრიპომ, პროფპოინტის საფრთხეების კვლევისა და გამოვლენის ვიცე-პრეზიდენტმა პრესრელიზში. „საფრთხის შემქმნელები ახლა იღებენ ახალ ტაქტიკას მავნე პროგრამების გადასაცემად და, სავარაუდოდ, გაგრძელდება ისეთი ფაილების გამოყენება, როგორიცაა ISO, LNK და RAR.“
მოძრავი დროით
Lifewire-თან ელფოსტის გაცვლისას ჰარმან სინგმა, კიბერუსაფრთხოების სერვისის პროვაიდერის Cyphere-ის დირექტორმა, აღწერა მაკროები, როგორც მცირე პროგრამები, რომლებიც შეიძლება გამოყენებულ იქნას Microsoft Office-ში ამოცანების ავტომატიზაციისთვის, XL4 და VBA მაკროები არიან ყველაზე ხშირად გამოყენებული მაკროები. ოფისის მომხმარებლები.
კიბერდანაშაულის პერსპექტივიდან, სინგმა თქვა, რომ საფრთხის მოქმედ პირებს შეუძლიათ გამოიყენონ მაკროები ზოგიერთი საკმაოდ საშინელი თავდასხმის კამპანიისთვის. მაგალითად, მაკროებს შეუძლიათ შეასრულონ კოდის მავნე ხაზები მსხვერპლის კომპიუტერზე იგივე პრივილეგიებით, როგორც სისტემაში შესული პირი. საფრთხის შემქმნელებს შეუძლიათ ბოროტად გამოიყენონ ეს წვდომა დაზიანებული კომპიუტერიდან მონაცემების ექსფილტრაციისთვის ან მავნე პროგრამის სერვერებიდან დამატებითი მავნე კონტენტის მოსაპოვებლად, კიდევ უფრო საზიანო პროგრამების გამოსაყვანად.
თუმცა, სინგმა სწრაფად დაამატა, რომ Office არ არის კომპიუტერული სისტემების დაინფიცირების ერთადერთი გზა, მაგრამ „ის არის ერთ-ერთი ყველაზე პოპულარული [სამიზნე] იმის გამო, რომ ოფისის დოკუმენტები იყენებს თითქმის ყველას ინტერნეტში."
საფრთხეში გამეფების მიზნით, Microsoft-მა დაიწყო ზოგიერთი დოკუმენტის მონიშვნა არასანდო ადგილებიდან, როგორიცაა ინტერნეტი, ვებ-ის ნიშნით (MOTW) ატრიბუტით, კოდის სტრიქონით, რომელიც განსაზღვრავს უსაფრთხოების ფუნქციებს.
თავის კვლევაში, Proofpoint ამტკიცებს, რომ მაკროების გამოყენების შემცირება არის პირდაპირი პასუხი Microsoft-ის გადაწყვეტილებაზე, დაენიშნოს MOTW ატრიბუტი ფაილებზე.
სინგი არ არის გაკვირვებული. მან განმარტა, რომ შეკუმშული არქივები, როგორიცაა ISO და RAR ფაილები, არ ეყრდნობა Office-ს და შეუძლიათ მავნე კოდის დამოუკიდებლად გაშვება. „აშკარაა, რომ ტაქტიკის შეცვლა კიბერკრიმინალების სტრატეგიის ნაწილია, რათა უზრუნველყონ, რომ ისინი ძალისხმევას ხმარობენ თავდასხმის საუკეთესო მეთოდზე, რომელსაც აქვს [ადამიანების ინფიცირების] ყველაზე მაღალი ალბათობა.“
შეიცავს მავნე პროგრამას
მავნე პროგრამების ჩაშენება შეკუმშულ ფაილებში, როგორიცაა ISO და RAR ფაილები, ასევე დაგეხმარებათ თავიდან აიცილოთ აღმოჩენის ტექნიკა, რომელიც ფოკუსირებულია ფაილების სტრუქტურის ან ფორმატის ანალიზზე, განმარტა სინგმა. "მაგალითად, ISO და RAR ფაილების მრავალი აღმოჩენა დაფუძნებულია ფაილის ხელმოწერებზე, რომელთა ამოღება მარტივად შესაძლებელია ISO ან RAR ფაილის შეკუმშვით სხვა შეკუმშვის მეთოდით."
Proofpoint-ის მიხედვით, ისევე როგორც მავნე მაკროები მათზე ადრე, ამ მავნე პროგრამებით დატვირთული არქივების გადატანის ყველაზე პოპულარული საშუალებაა ელფოსტა.
Proofpoint-ის კვლევა ეფუძნება საფრთხის სხვადასხვა ცნობილი აქტორების აქტივობებს თვალყურის დევნებაზე. მან დააფიქსირა ახალი თავდაპირველი წვდომის მექანიზმების გამოყენება ჯგუფების მიერ, რომლებიც ავრცელებენ Bumblebee-ს და Emotet მავნე პროგრამას, ისევე როგორც რამდენიმე სხვა კიბერკრიმინალს, ყველა სახის მავნე პროგრამისთვის.
"15 თვალყურის დევნილი საფრთხის აქტორებიდან ნახევარზე მეტმა, რომლებიც იყენებდნენ ISO ფაილებს [2021 წლის ოქტომბრიდან 2022 წლის ივნისამდე], დაიწყო მათი გამოყენება კამპანიებში 2022 წლის იანვრის შემდეგ", ხაზგასმით აღნიშნა Proofpoint.
იმისთვის, რომ გააძლიეროთ თქვენი დაცვა საფრთხის მოქმედი პირების მიერ ტაქტიკაში ამ ცვლილებების წინააღმდეგ, სინგჰი სთავაზობს ხალხს ფრთხილად იყვნენ არასასურველი ელ.წერილების მიმართ. ის ასევე აფრთხილებს ხალხს არ დააწკაპუნონ ბმულებზე და გახსნან დანართები, თუ ისინი არ არიან დარწმუნებული, რომ ეს ფაილები უსაფრთხოა.
"არ ენდოთ არცერთ წყაროს, თუ არ ელოდებით შეტყობინებას დანართთან ერთად", - გაიმეორა სინგმა. „ენდეთ, მაგრამ გადაამოწმეთ, მაგალითად, დაურეკეთ კონტაქტს, სანამ [დანართს გახსნით], რომ ნახოთ, ნამდვილად არის თქვენი მეგობრის მნიშვნელოვანი ელფოსტა თუ მავნე წერილი მათი გატეხილი ანგარიშებიდან."