在Microsoft默认阻止宏后,黑客选择了新的攻击方法
随着微软采取措施在Office应用程序中默认阻止Excel 4.0(XLM或XL4)和Visual Basic for Applications(VBA)宏,恶意行为体正在通过改进其新策略、技术和过程(TTP)做出回应。
“从2021 10月到2022年6月,VBA和XL4宏的使用减少了约66%,”Proofpoint在与黑客新闻分享的一份报告中说。
取而代之的是,对手越来越多地从支持宏的文档转向其他替代文件,包括ISO和RAR等容器文件,以及传播恶意软件活动中的Windows快捷方式(LNK)文件。
Proofpoint威胁研究和检测副总裁Sherrod DeGrippo在一份声明中表示:“威胁参与者不再直接在电子邮件中分发基于宏的附件,这代表着威胁形势的重大转变”。
“威胁参与者现在正在采取新的策略来交付恶意软件,预计ISO、LNK和RAR等文件的使用将继续增加”。
嵌入在通过钓鱼电子邮件发送的Office文档中的VBA宏已被证明是一种有效的技术,因为它允许威胁参与者在通过社会工程策略诱使收件人启用宏后自动运行恶意内容。
然而,微软计划阻止从互联网下载的文件中的宏,这导致了基于电子邮件的恶意软件活动,尝试用其他方式绕过网络标记(MOTW)保护并感染受害者。
这涉及到ISO、RAR和LNK文件附件的使用,在同一时期,这些附件激增了近175%。据说自2022年2月以来,至少有10名威胁行为者开始使用LNK文件。
通过这些新方法分布的一些著名恶意软件家族包括Emotet、IcedID、Qakbot和Bumblebee。
“一般来说,这些其他类型的文件直接附加到电子邮件中,就像我们以前观察到一个充满宏的文档一样,”DeGrippo在电子邮件回复中告诉黑客新闻。
“还有一些情况下,攻击链更加复杂,例如,最近的一些Qbot活动中,包含ISO的.ZIP嵌入到直接附加到消息的HTML文件中”。
“至于让目标受害者打开并点击,方法是一样的:一系列广泛的社会工程策略让人们打开并点击。我们用于钓鱼的预防措施仍然适用于这里”。