ซื้อกลับบ้านที่สำคัญ
- การตัดสินใจของ Microsoft ในการบล็อกมาโครจะปล้นผู้คุกคามจากวิธีการยอดนิยมนี้ในการกระจายมัลแวร์
- อย่างไรก็ตาม นักวิจัยสังเกตว่าอาชญากรไซเบอร์ได้เปลี่ยนวิธีการและลดการใช้มาโครลงอย่างมากในแคมเปญมัลแวร์ล่าสุด
- การปิดกั้นมาโครเป็นขั้นตอนในทิศทางที่ถูกต้อง แต่ท้ายที่สุด ผู้คนต้องระมัดระวังมากขึ้นเพื่อหลีกเลี่ยงการติดเชื้อ ผู้เชี่ยวชาญแนะนำ
ในขณะที่ Microsoft ใช้เวลาในการตัดสินใจบล็อกมาโครโดยค่าเริ่มต้นใน Microsoft Office ผู้คุกคามก็รีบแก้ไขข้อ จำกัด นี้อย่างรวดเร็วและคิดค้นเวกเตอร์การโจมตีใหม่
จากการวิจัยใหม่โดย Proofpoint ของผู้ให้บริการด้านความปลอดภัย มาโครไม่ใช่วิธีการยอดนิยมในการกระจายมัลแวร์อีกต่อไป การใช้มาโครทั่วไปลดลงประมาณ 66% ระหว่างเดือนตุลาคม 2564 ถึงมิถุนายน 2565 ในทางกลับกัน การใช้ไฟล์ ISO (ภาพดิสก์) เพิ่มขึ้นกว่า 150% ในขณะที่การใช้ LNK (Windows File Shortcut) ไฟล์เพิ่มขึ้นอย่างส่าย 1, 675% ในช่วงเวลาเดียวกัน ประเภทไฟล์เหล่านี้สามารถเลี่ยงการป้องกันการบล็อกมาโครของ Microsoft ได้
"ผู้คุกคามที่เปลี่ยนจากการกระจายไฟล์แนบแบบมาโครในอีเมลโดยตรง แสดงถึงการเปลี่ยนแปลงครั้งสำคัญในแนวภัยคุกคาม" Sherrod DeGrippo รองประธานฝ่ายวิจัยและตรวจจับภัยคุกคามที่ Proofpoint กล่าวในการแถลงข่าว "ขณะนี้ผู้คุกคามกำลังใช้กลวิธีใหม่ในการส่งมัลแวร์ และคาดว่าการใช้ไฟล์เช่น ISO, LNK และ RAR ที่เพิ่มขึ้นจะดำเนินต่อไป"
เคลื่อนไหวตามกาลเวลา
ในการแลกเปลี่ยนอีเมลกับ Lifewire Harman Singh ผู้อำนวยการ Cyphere ผู้ให้บริการความปลอดภัยทางไซเบอร์อธิบายว่ามาโครเป็นโปรแกรมขนาดเล็กที่สามารถใช้เพื่อทำงานอัตโนมัติใน Microsoft Office โดยมาโคร XL4 และ VBA เป็นมาโครที่ใช้กันมากที่สุดโดย ผู้ใช้สำนักงาน
จากมุมมองของอาชญากรไซเบอร์ Singh กล่าวว่าผู้คุกคามสามารถใช้มาโครสำหรับแคมเปญโจมตีที่น่ารังเกียจ ตัวอย่างเช่น มาโครสามารถรันโค้ดที่เป็นอันตรายบนคอมพิวเตอร์ของเหยื่อด้วยสิทธิ์เดียวกันกับบุคคลที่เข้าสู่ระบบ ผู้คุกคามสามารถใช้การเข้าถึงนี้ในทางที่ผิดเพื่อกรองข้อมูลจากคอมพิวเตอร์ที่ถูกบุกรุก หรือแม้แต่คว้าเนื้อหาที่เป็นอันตรายเพิ่มเติมจากเซิร์ฟเวอร์ของมัลแวร์เพื่อดึงมัลแวร์ที่สร้างความเสียหายให้มากยิ่งขึ้น
อย่างไรก็ตาม ซิงห์กล่าวเสริมอย่างรวดเร็วว่า Office ไม่ใช่วิธีเดียวที่จะแพร่เชื้อไปยังระบบคอมพิวเตอร์ แต่ "มันเป็นหนึ่งใน [เป้าหมาย] ที่ได้รับความนิยมมากที่สุดเนื่องจากมีการใช้เอกสาร Office โดยเกือบทุกคนบนอินเทอร์เน็ต"
เพื่อปกครองภัยคุกคาม Microsoft เริ่มติดแท็กเอกสารบางส่วนจากตำแหน่งที่ไม่น่าเชื่อถือ เช่น อินเทอร์เน็ต ด้วยแอตทริบิวต์ Mark of the Web (MOTW) สตริงของรหัสที่กำหนดทริกเกอร์คุณสมบัติความปลอดภัย
ในการวิจัยของพวกเขา Proofpoint อ้างว่าการใช้มาโครที่ลดลงนั้นเป็นการตอบสนองโดยตรงต่อการตัดสินใจของ Microsoft ในการแท็กแอตทริบิวต์ MOTW ไปยังไฟล์
สิงห์ไม่แปลกใจ เขาอธิบายว่าไฟล์บีบอัดที่เก็บถาวร เช่น ไฟล์ ISO และ RAR ไม่ได้อาศัย Office และสามารถเรียกใช้โค้ดที่เป็นอันตรายได้ด้วยตัวเอง "เห็นได้ชัดว่าการเปลี่ยนยุทธวิธีเป็นส่วนหนึ่งของกลยุทธ์ของอาชญากรไซเบอร์เพื่อให้แน่ใจว่าพวกเขาใช้ความพยายามในวิธีการโจมตีที่ดีที่สุดที่มีโอกาสสูงสุดที่จะ [ติดเชื้อ] ผู้คน"
มีมัลแวร์
การฝังมัลแวร์ในไฟล์บีบอัด เช่น ไฟล์ ISO และ RAR ยังช่วยหลบเลี่ยงเทคนิคการตรวจจับที่เน้นไปที่การวิเคราะห์โครงสร้างหรือรูปแบบของไฟล์อีกด้วย Singh อธิบาย "ตัวอย่างเช่น การตรวจหาไฟล์ ISO และ RAR จำนวนมากขึ้นอยู่กับลายเซ็นไฟล์ ซึ่งสามารถลบออกได้อย่างง่ายดายโดยการบีบอัดไฟล์ ISO หรือ RAR ด้วยวิธีการบีบอัดแบบอื่น"
จากข้อมูลของ Proofpoint เช่นเดียวกับมาโครที่เป็นอันตรายก่อนหน้านั้น วิธีที่นิยมที่สุดในการถ่ายโอนไฟล์เก็บถาวรที่มีมัลแวร์เหล่านี้คือทางอีเมล
การวิจัยของ Proofpoint ขึ้นอยู่กับกิจกรรมการติดตามของผู้คุกคามที่มีชื่อเสียงหลายคน โดยสังเกตการใช้กลไกการเข้าถึงเบื้องต้นแบบใหม่ที่ใช้โดยกลุ่มที่เผยแพร่ Bumblebee และมัลแวร์ Emotet รวมถึงอาชญากรไซเบอร์อีกหลายคนสำหรับมัลแวร์ทุกประเภท
"มากกว่าครึ่งหนึ่งของผู้คุกคามที่ถูกติดตาม 15 คนซึ่งใช้ไฟล์ ISO [ระหว่างตุลาคม 2564 ถึงมิถุนายน 2522] เริ่มใช้ในแคมเปญหลังจากมกราคม 2565 " เน้น Proofpoint
เพื่อเสริมการป้องกันของคุณต่อการเปลี่ยนแปลงกลยุทธ์เหล่านี้โดยผู้คุกคาม ซิงห์แนะนำให้ผู้คนระมัดระวังอีเมลที่ไม่พึงประสงค์ นอกจากนี้ เขายังเตือนผู้คนไม่ให้คลิกลิงก์และเปิดไฟล์แนบ เว้นแต่พวกเขาจะมั่นใจโดยไม่ต้องสงสัยว่าไฟล์เหล่านี้ปลอดภัย
"อย่าเชื่อถือแหล่งใด ๆ เว้นแต่คุณจะคาดหวังข้อความพร้อมไฟล์แนบ " สิงห์ย้ำ "เชื่อถือ แต่ตรวจสอบตัวอย่างเช่นโทรติดต่อผู้ติดต่อก่อน [เปิดไฟล์แนบ] เพื่อดูว่าเป็นอีเมลที่สำคัญจากเพื่อนของคุณหรือเป็นอีเมลที่เป็นอันตรายจากบัญชีที่ถูกบุกรุก"