Istraživači primećuju pad napada od 66% tokom osam meseci otkako je Microsoft podrazumevano isključio makroe.
Autor: John P. Mello Jr.
Prema kompaniji za bezbednost preduzeća Proofpoint, Microsoftova odluka da podrazumevano isključi Office makroe imala je značajan uticaj na korišćenje tih mini programa od strane hakera. U blogu objavljenom danas, kompanija je navela da su njeni istraživači otkrili da se upotreba priloga sa omogućenim makroima od strane aktera pretnji smanjila za približno 66% između oktobra 2021. i juna 2022.
„Videli smo kako menjaju svoju taktiku od korišćenja zlonamernih makroa prema drugim vrstama napada kao što su LNK fajlovi“, kaže potpredsednik Proofpoint za istraživanje i otkrivanje pretnji Sherod DeGrippo. „U poslednjih približno deset meseci, videli smo povećanje od 1.600% upotrebe drugih taktika umesto zlonamernih Office makroa. Akteri pretnji su uočili da se to sprema, pa smajuju upotrebu makroa protiv pojedinaca i organizacija.“
Microsoft je najavio nameru da podrazumevano blokira Office makroe u oktobru 2021. Početkom jula je najavio privremeno povlačenje poteza, ali je ponovo potvrdio taj potez 20. jula. Sa ovom promenom, objasnio je Microsoft u blogu kompanije, korisnici će dobiti poruku da je izvršavanje makroa blokirano kada otvore fajlove iz izvora koji nisu identifikovani kao pouzdani.
„Odbrambena zajednica se bori sa ovim već dugi niz godina“, kaže DeGripo. „Sjajno je videti da Microsoft zaista preduzima neke mere u vezi sa nečim što je godinama predstavljalo ogromnu pretnju.“
Microsoftov potez smanjuje uspeh protivnika
„Veoma je važan korak koji Microsoft preduzima, to što počinje da podrazumevano blokira ove makroe, posebno zbog toga što su za većinu korisnika makroi nevidljivi“, dodaje Nathan Wencler, glavni bezbednosni strateg u Tenableu, kompaniji za skeniranje ranjivosti. „Ali to ne znači da je pretnja iskorenjena ili da ne treba da nastavimo da podsećamo korisnike da budu oprezni sa otvaranjem fajlova iz nepouzdanih izvora.“
I druge kompanije primećuju da akteri pretnji menjaju taktiku zbog Microsoftovog poteza. „Protivnici su toga svesni“, primećuje Tim Bandos, izvršni potpredsednik za sajber bezbednost u kompaniji Xcitium, proizvođaču paketa za bezbednost krajnjih tačaka. „Oni isprobavaju nove načine da to izbegnu jer očigledno nisu toliko uspešni sada kada je Microsoft napravio ovu promenu.“
Korisnici jednog ozloglašenog zlonamernog programa, poznatog kao Emotet, već su počeli da menjaju taktiku, primećuje on. „Videli smo da su nedavno prešli sa korišćenja makroa na korišćenje URL-ova za OneDrive ili Google Drive“, kaže on.
Jedna od najvećih promena palete pretnji e-poštom
Matt Chiodi, glavni zaduženi za poverenje u kompaniji Cerby, proizvođaču platforme za upravljanje IT-om u senci, kaže da bi Microsoft trebalo pohvaliti za ovu akciju, ali je upozorio da organizacije moraju da paze na protivnike koji u svojim napadima koriste alternative makroima. „Napadači će se bez sumnje prebaciti sa VBA makro napade na aplikacije kojima se ne može upravljati, a koje su trenutno van domašaja IT i bezbednosti“, kaže on.
Dok Microsoftova akcija utiče na to da akteri pretnji odustanu od upotrebe makroa, diverzifikacija traje godinama, tvrdi Brian Donohue, glavni specijalista za bezbednost informacija u Red Canary, dobavljaču bezbednosnih usluga zasnovanih na oblaku. „Verovatno postoji splet faktora koji pokreću ove promene, što uključuje Microsoftov dugo postavljani plan da onemogući makroe, pojačanu kontrolu makroa u celoj industriji i još mnogo toga“, kaže on.
U svom blogu, Proofpoint napominje da je udaljavanje od dokumenata sa omogućenim makroima dovelo do usvajanja ISO i drugih formata kontejnera fajlova, kao i LNK fajlova. Takvi tipovi fajlova, objašnjava se, mogu zaobići Majkrosoftovu zaštitu od blokiranja makroa, kao i olakšati distribuciju izvršnih fajlova koji mogu da dovedu do preuzimanja zlonamernog softvera, izviđanja i krađe podataka i ucenjivačkog softvera.
Prema Proofpoint-u, njegovi istraživači sa velikim uverenjem procenjuju da je ovo jedna od najvećih promena palete pretnji e-pošte u novijoj istoriji. Verovatno će akteri pretnji nastaviti da koriste formate kontejnera fajlova za isporuku zlonamernog softvera, dok će se manje oslanjati na priloge sa omogućenim makroima, dodaje se.
Izvor: CSO