Microsoft Office varsayılan olarak bunları engellemeye başladıktan sonra, ISO, RAR ve Windows kısayol (LNK) ekleri gibi yeni dosya türlerine geçtikten sonra, kötü amaçlı makrolarla kimlik avı ekleri ile kötü amaçlı yazılım dağıtan bilgisayar korsanları taktikleri kademeli olarak değiştirdi.
VBA ve XL4 makroları, Microsoft Office uygulamalarındaki tekrarlayan görevleri otomatikleştirmek için oluşturulan küçük programlardır ve aktörlerin kimlik avı e -postalarında gönderilen kötü amaçlı Microsoft Office belge ekleri aracılığıyla yükleme, bırakma veya yükleme için kötüye kullanma veya yükleme için kötüye kullanma ile kötüye kullanma tehdidinde bulunur.
Switch'in nedeni Microsoft, varsayılan olarak makroları otomatik olarak engelleyerek ve bunları etkinleştirmeyi zorlaştırarak ofis alt sisteminin büyük kötüye kullanımını sona erdireceklerini açıklamaktır.
Microsoft'un bu Microsoft Office değişikliğini uygulamak biraz daha uzun sürmesine rağmen, blok nihayet geçen hafta yürürlüğe girdi.
Bununla birlikte, tek başına ilk duyuru, kötü amaçlı yazılım operatörlerini makrolardan uzaklaşmaya ve kurbanları enfekte etmek için alternatif yöntemlerle denemeye başlamaya ikna etti.
Proofpoint tarafından yapılan yeni bir raporda, araştırmacılar Ekim 2021 ve Haziran 2022 arasında kötü amaçlı kampanya istatistiklerine baktılar ve makroların kullanımında% 66'lık bir düşüş kaydederek, yük yükü dağılımının diğer yöntemlerine açık bir kayma tespit ettiler.
Aynı zamanda, ISOS, ZIPS ve RARS gibi kap dosyalarının kullanımı istikrarlı bir şekilde büyüdü ve neredeyse%175 arttı.
LNK dosyalarının kullanımı, Şubat 2022'den sonra patladı, Microsoft’un duyurusunun zamanı, Ekim 2021'e kıyasla% 1.675 arttı ve Proofpoint tarafından izlenen on bireysel tehdit grubunun seçimi silahı oldu.
Emotet, QBOT ve IcedID tarafından LNK dosyalarının kullanımını, alıcıyı açmak için kandırmak için bir kelime belgesi olarak maskelenen her durumda bildirdik.
Ancak, bu bağlantı dosyaları, uzak kaynaklardan kötü amaçlı yazılımları indiren ve yürüten PowerShell komut dosyalarını yürütme de dahil olmak üzere kullanıcının kullanma iznine sahip hemen hemen her komutu yürütmek için kullanılabilir.
Son olarak, Proofpoint ayrıca, ana bilgisayar sistemine kötü amaçlı bir dosya bırakmak için HTML kaçakçılık tekniğini benimseyen HTML eklerinin kullanımında önemli bir artış gözlemledi. Ancak, dağıtım hacimleri küçük kalmaya devam etmektedir.
Makroların ücretli bir yük dağılımı ve başlangıç enfeksiyonu için eski bir yöntem haline geldiğini görürken, tehdit sadece ele alınmak veya azaltmak yerine değişti.
Cevaplara ihtiyaç duyulan soru, alıcıları .docx ve .xls dosyalarını açmaya ikna etmek için bu değişikliğin kötü amaçlı yazılım kampanyalarının etkinliğini nasıl etkilediğidir.
Ayrıca, güvenlik yazılımı tarafından tespiti atlamak için, birçok kimlik avı kampanyası artık şifre korumalı arşiv ekleri ekleyerek, kötü amaçlı dosyalara erişmek için bir hedefin başka bir külfetli adım eklenmesi.
Bu açıdan bakıldığında, kimlik avı e -postalarına güvenen tehdit aktörleri iyi seçenekler tükenebilir ve sonuç olarak enfeksiyon oranları düşmüş olabilir.
Son olarak, e -posta güvenlik çözümleri artık riskli bir dosya yakalama şanslarını artırarak değerlendirmek için daha dar bir potansiyel risk yelpazesine sahiptir.
İnternetten Microsoft Office Dokümanlarındaki Makroları Otomatik Nasıl Blokır
LinkedIn Kimlik Avı Hedef Çalışanları Facebook Reklam Hesaplarını Yöneten
Microsoft, Varsayılan olarak Office Makroları'nı bir kez daha engellemeye başlar
Microsoft, ofis makrolarını engelleme kararının geçici olduğunu söylüyor
Microsoft, Varsayılan Ofis Makrolarını Engelleme Kararını geri alır
Kaynak: Bleeping Computer