Da asporto chiave
- La decisione di Microsoft di bloccare le macro priverà gli attori delle minacce di questo popolare mezzo per la distribuzione di malware.
- Tuttavia, i ricercatori notano che i criminali informatici hanno già cambiato strategia e ridotto significativamente l'uso delle macro nelle recenti campagne di malware.
- Bloccare le macro è un passo nella giusta direzione, ma alla fine, le persone devono essere più vigili per evitare di essere infettate, suggeriscono gli esperti.
Mentre Microsoft si è presa il suo tempo per decidere di bloccare le macro per impostazione predefinita in Microsoft Office, gli attori delle minacce si sono affrettati a aggirare questa limitazione e ideare nuovi vettori di attacco.
Secondo una nuova ricerca del fornitore di sicurezza Proofpoint, le macro non sono più il mezzo preferito per la distribuzione di malware. L'utilizzo delle macro comuni è diminuito di circa il 66% tra ottobre 2021 e giugno 2022. L'utilizzo di file ISO (un'immagine disco) ha invece registrato un aumento di oltre il 150%, mentre l'utilizzo di LNK (Windows File Shortcut) i file sono aumentati di un incredibile 1,675% nello stesso lasso di tempo. Questi tipi di file possono aggirare le protezioni di blocco delle macro di Microsoft.
"Gli attori delle minacce che si allontanano dalla distribuzione diretta di allegati basati su macro nelle e-mail rappresentano un cambiamento significativo nel panorama delle minacce", ha affermato Sherrod DeGrippo, Vice President, Threat Research and Detection di Proofpoint, in un comunicato stampa. "Gli attori delle minacce stanno ora adottando nuove tattiche per fornire malware e si prevede che l'uso crescente di file come ISO, LNK e RAR continuerà."
In movimento con i tempi
In uno scambio di posta elettronica con Lifewire, Harman Singh, Direttore del fornitore di servizi di sicurezza informatica Cyphere, ha descritto le macro come piccoli programmi che possono essere utilizzati per automatizzare le attività in Microsoft Office, con le macro XL4 e VBA che sono le macro più comunemente utilizzate da Utenti Office.
Dal punto di vista del crimine informatico, Singh ha affermato che gli attori delle minacce possono utilizzare le macro per alcune campagne di attacco piuttosto sgradevoli. Ad esempio, le macro possono eseguire righe di codice dannose sul computer di una vittima con gli stessi privilegi della persona che ha effettuato l'accesso. Gli autori di minacce possono abusare di questo accesso per esfiltrare dati da un computer compromesso o persino per acquisire contenuti dannosi aggiuntivi dai server del malware per estrarre malware ancora più dannoso.
Tuttavia, Singh si è affrettato ad aggiungere che Office non è l'unico modo per infettare i sistemi informatici, ma "è uno dei [bersagli] più popolari a causa dell'utilizzo dei documenti di Office da parte di quasi tutti su Internet."
Per regnare sulla minaccia, Microsoft ha iniziato a contrassegnare alcuni documenti provenienti da posizioni non attendibili, come Internet, con l'attributo Mark of the Web (MOTW), una stringa di codice che designa le funzionalità di sicurezza dei trigger.
Nella loro ricerca, Proofpoint afferma che la diminuzione dell'uso delle macro è una risposta diretta alla decisione di Microsoft di taggare l'attributo MOTW ai file.
Singh non è sorpreso. Ha spiegato che gli archivi compressi come i file ISO e RAR non si basano su Office e possono eseguire codice dannoso da soli. "È ovvio che cambiare tattica fa parte della strategia dei criminali informatici per assicurarsi che si impegnino nel miglior metodo di attacco che abbia la più alta probabilità di [infettare le persone]."
Contenente malware
L'incorporamento di malware in file compressi come file ISO e RAR aiuta anche a eludere le tecniche di rilevamento incentrate sull'analisi della struttura o del formato dei file, ha spiegato Singh. "Ad esempio, molti rilevamenti di file ISO e RAR si basano su firme di file, che possono essere facilmente rimosse comprimendo un file ISO o RAR con un altro metodo di compressione."
Secondo Proofpoint, proprio come le macro dannose precedenti, il mezzo più diffuso per trasportare questi archivi carichi di malware è tramite e-mail.
La ricerca di Proofpoint si basa sul monitoraggio delle attività di vari famigerati attori delle minacce. Ha osservato l'uso dei nuovi meccanismi di accesso iniziale utilizzati dai gruppi che distribuiscono Bumblebee e il malware Emotet, nonché da molti altri criminali informatici, per tutti i tipi di malware.
"Più della metà dei 15 attori delle minacce monitorati che hanno utilizzato i file ISO [tra ottobre 2021 e giugno 2022] hanno iniziato a utilizzarli nelle campagne dopo gennaio 2022", ha evidenziato Proofpoint.
Per rafforzare la tua difesa contro questi cambiamenti nelle tattiche da parte degli attori delle minacce, Singh suggerisce alle persone di diffidare delle e-mail non richieste. Avverte inoltre le persone di non fare clic sui collegamenti e di aprire allegati a meno che non siano sicure al di là di ogni dubbio che questi file siano al sicuro.
"Non fidarti di nessuna fonte a meno che non ti aspetti un messaggio con un allegato", ha ribadito Singh. "Fidati, ma verifica, ad esempio, chiama il contatto prima di [aprire un allegato] per vedere se si tratta davvero di un'e-mail importante del tuo amico o di una dannosa dai suoi account compromessi."
