通常通过带有恶意宏的网络钓鱼附件分发恶意软件的黑客在 Microsoft Office 开始默认阻止它们后逐渐改变策略,转而使用新的文件类型,例如 ISO、RAR 和 Windows 快捷方式 (LNK) 附件。

VBA 和 XL4 宏是为自动执行 Microsoft Office 应用程序中的重复任务而创建的小程序,威胁者滥用这些程序通过网络钓鱼电子邮件中发送的恶意 Microsoft Office 文档附件加载、丢弃或安装恶意软件。

切换的原因是 微软宣布 他们将通过默认自动阻止宏并使其更难激活来结束对 Office 子系统的大规模滥用。

malware-phishing-header.webp

尽管微软 实施这一 Microsoft Office 变更的 时间稍长,但该禁令终于在 上周生效。

然而,仅最初的公告就说服了恶意软件运营商远离宏,并开始尝试替代方法来感染受害者。

黑客放弃宏

在 Proofpoint 的一份新报告中,研究人员查看了 2021 年 10 月至 2022 年 6 月期间的恶意活动统计数据,并确定了向其他有效负载分发方法的明显转变,其中宏的使用减少了 66%。

与此同时,ISO、ZIP 和 RAR 等容器文件的使用量稳步增长,增长了近 175%。

宏和容器文件的比较

广告系列中的宏和容器文件之间的比较 (Proofpoint)

LNK 文件的使用在 2022 年 2 月(即微软宣布的时间)之后激增,与 2021 年 10 月相比增长了 1,675%,并成为 Proofpoint 跟踪的十个单独威胁组的首选武器。

恶意 LNK 文件使用量上升到前所未有的水平

恶意 LNK 文件使用量上升到前所未有的水平 (Proofpoint)

我们报告了 Emotet、 Qbot和 IcedID使用 LNK 文件的情况,在所有情况下都伪装成 Word 文档来诱骗收件人打开它。

但是,这些链接文件可用于执行用户有权使用的几乎任何命令,包括执行从远程源下载和执行恶意软件的 PowerShell 脚本。

运行 PowerShell 命令安装 Emotet 的 Windows 快捷方式

运行 PowerShell 命令安装 Emotet 的 Windows 快捷方式

最后,Proofpoint 还观察到采用 HTML 走私技术将恶意文件放到主机系统上的 HTML 附件的使用显着增加。然而,它们的发行量仍然很小。

转移威胁

虽然看到宏成为有效载荷分发和初始感染的过时方法是一个积极的发展,但威胁只是转移了,而不是得到解决或减少。

现在需要回答的问题是,这种变化如何影响恶意软件活动的有效性,因为说服收件人打开 .docx 和 .xls 文件比要求他们解压档案并打开名称以 .lnk 结尾的文件要容易得多。

此外,为了绕过安全软件的检测,许多网络钓鱼活动现在使用密码保护存档附件,增加了目标访问恶意文件必须采取的另一个繁重步骤。

从这个角度来看,依赖网络钓鱼电子邮件的威胁行为者可能已经没有好的选择,因此他们的感染率可能会下降。

最后,电子邮件安全解决方案现在需要评估的潜在风险范围更窄,从而提高了捕获风险文件的机会。

Tags: none

我有个想法