0
0
Desde que a Microsoft decidiu bloquear macros do Office por padrão, os agentes de ameaças foram forçados a evoluir, adotando novos métodos para entregar malware a uma taxa sem precedentes.
Por muito tempo, os agentes de ameaças usaram macros maliciosas do Microsoft Office para obter um gancho dentro dos computadores de seus alvos. Foi por essa razão que, em 2022, a Microsoft finalmente – embora de forma desigual – começou a bloquear macros por padrão em arquivos baixados da Internet.
Agora, sem seu brinquedo favorito, os hackers estão tendo que criar novas maneiras de levar seu malware aonde eles querem que ele vá.
“De muitas maneiras, eles estão jogando espaguete na parede para ver o que gruda”, diz Selena Larson, autora de um novo relatório sobre a tendência. “A energia que eles estão gastando para criar novas cadeias de ataque é realmente única”, e os defensores cibernéticos terão que acompanhar.
Como os atacantes se ajustaram
Raramente uma mudança de política tão simples fez uma diferença tão grande no cenário do cibercrime. Em 2021, ano do anúncio da Microsoft, pesquisadores da Proofpoint rastrearam muito mais de mil campanhas maliciosas utilizando macros.
Em 2022, ano em que a mudança de política entrou em vigor, os ataques macro despencaram 66%. Até agora, em 2023, as macros praticamente desapareceram em ataques cibernéticos.
Em seu lugar, os hackers precisam de alguma outra solução. Os arquivos de contêiner surgiram como uma alternativa popular no ano passado, permitindo que os invasores ignorassem a tag “marcação da Web” da Microsoft para arquivos baixados da Internet. Uma vez que a Microsoft resolveu essa solução alternativa, no entanto, esses arquivos seguiram o caminho da macro.
Desde então, hackers estão procurando seu novo ganso de ouro.
Por exemplo, no H2 2022, os pesquisadores da Proofpoint observaram um aumento significativo no contrabando de HTML — deslizando um script codificado por meio de um anexo HTML. Em 2023, os bons e velhos PDFs provaram ser um formato de arquivo popular para invasores. E em dezembro passado, algumas campanhas maliciosas começaram a utilizar o aplicativo OneNote da Microsoft como um meio de entregar seu malware. Em janeiro, dezenas de agentes de ameaças aderiram à tendência e, nos últimos meses, mais de 120 campanhas fizeram uso do OneNote.
Nada travou, porém. “Não vimos nada que tenha o mesmo tipo de durabilidade que o acessório habilitado para macro”, diz Larson.
O que isso significa para as equipes de segurança
“Os atacantes estão tendo que ser mais criativos agora, o que apresenta mais oportunidades para eles errarem ou cometerem erros”, diz Larson.
Ainda assim, forçar os cibercriminosos a sair de sua zona de conforto tem um custo. “A velocidade, a taxa e o escopo das mudanças que eles estão fazendo – todas as diferentes cadeias de ataque que eles estão experimentando – se destacam”, diz ela.
E assim, os defensores cibernéticos terão que se mover igualmente rápido para acompanhar. “Estamos tendo que ser proativos para o comportamento dos atores de ameaças e criar novas detecções e regras e tal, porque os atores de ameaças estão tentando maneiras diferentes de contornar as detecções existentes”, diz ela.
As organizações também precisarão se manter atualizadas com as últimas tendências. Faça treinamentos de segurança: “Sei que, muitas vezes, as pessoas são treinadas em documentos habilitados para macros. Agora você precisa conscientizar seus usuários sobre os novos métodos de PDF e usar exemplos reais de ameaças potenciais para incorporar ao treinamento de segurança”, diz ela.
“Mas, de um ponto de vista geral e holístico de segurança, não acho que haja nada que precise mudar drasticamente, desde que você esteja garantindo que os usuários estejam cientes”, diz Larson. “Só ficando, tipo, ‘Ei, cuidado com esse tipo de coisa!'”
FONTE: DARK READING