Princípios importantes
- A decisão da Microsoft de bloquear macros roubará os agentes de ameaças desse meio popular de distribuição de malware.
- No entanto, os pesquisadores observam que os cibercriminosos já mudaram de tática e reduziram significativamente o uso de macros em campanhas recentes de malware.
- Bloquear macros é um passo na direção certa, mas no final das contas, as pessoas precisam estar mais vigilantes para evitar serem infectadas, sugerem especialistas.
Embora a Microsoft tenha demorado bastante decidindo bloquear macros por padrão no Microsoft Office, os agentes de ameaças foram rápidos em contornar essa limitação e criar novos vetores de ataque.
De acordo com uma nova pesquisa do fornecedor de segurança Proofpoint, as macros não são mais o meio favorito de distribuição de malware. O uso de macros comuns diminuiu aproximadamente 66% entre outubro de 2021 a junho de 2022. Por outro lado, o uso de arquivos ISO (uma imagem de disco) registrou um aumento de mais de 150%, enquanto o uso de LNK (Windows File Shortcut) arquivos aumentaram impressionantes 1.675% no mesmo período. Esses tipos de arquivo podem ignorar as proteções de bloqueio de macro da Microsoft.
"Atores de ameaças que se afastam da distribuição direta de anexos baseados em macro em e-mail representa uma mudança significativa no cenário de ameaças", disse Sherrod DeGrippo, vice-presidente de pesquisa e detecção de ameaças da Proofpoint, em um comunicado à imprensa. "Os agentes de ameaças agora estão adotando novas táticas para distribuir malware, e espera-se que o aumento do uso de arquivos como ISO, LNK e RAR continue."
Movendo com o Tempo
Em uma troca de e-mail com a Lifewire, Harman Singh, diretor do provedor de serviços de segurança cibernética Cyphere, descreveu macros como pequenos programas que podem ser usados para automatizar tarefas no Microsoft Office, sendo as macros XL4 e VBA as macros mais usadas por Usuários de escritório.
Do ponto de vista do crime cibernético, Singh disse que os agentes de ameaças podem usar macros para algumas campanhas de ataque bastante desagradáveis. Por exemplo, as macros podem executar linhas de código maliciosas no computador da vítima com os mesmos privilégios da pessoa conectada. Os agentes de ameaças podem abusar desse acesso para exfiltrar dados de um computador comprometido ou até mesmo capturar conteúdo malicioso adicional dos servidores do malware para obter malware ainda mais prejudicial.
No entanto, Singh foi rápido em acrescentar que o Office não é a única maneira de infectar sistemas de computador, mas "é um dos [alvos] mais populares devido ao uso de documentos do Office por quase todos na Internet."
Para controlar a ameaça, a Microsoft começou a marcar alguns documentos de locais não confiáveis, como a internet, com o atributo Mark of the Web (MOTW), uma string de código que designa recursos de segurança de gatilhos.
Em sua pesquisa, a Proofpoint afirma que a diminuição no uso de macros é uma resposta direta à decisão da Microsoft de marcar o atributo MOTW nos arquivos.
Singh não está surpreso. Ele explicou que arquivos compactados como arquivos ISO e RAR não dependem do Office e podem executar códigos maliciosos por conta própria. "É óbvio que a mudança de tática faz parte da estratégia dos cibercriminosos para garantir que eles se esforcem no melhor método de ataque que tenha a maior probabilidade de [infectar pessoas]."
Contendo Malware
Incorporar malware em arquivos compactados como arquivos ISO e RAR também ajuda a evitar técnicas de detecção que se concentram na análise da estrutura ou formato dos arquivos, explicou Singh. "Por exemplo, muitas detecções para arquivos ISO e RAR são baseadas em assinaturas de arquivo, que podem ser facilmente removidas compactando um arquivo ISO ou RAR com outro método de compactação."
De acordo com a Proofpoint, assim como as macros maliciosas antes deles, o meio mais popular de transportar esses arquivos carregados de malware é por e-mail.
A pesquisa da Proofpoint é baseada no rastreamento de atividades de vários agentes de ameaças notórios. Ele observou o uso dos novos mecanismos de acesso inicial sendo usados por grupos que distribuem o Bumblebee e o malware Emotet, bem como por vários outros cibercriminosos, para todos os tipos de malware.
"Mais da metade dos 15 agentes de ameaças rastreados que usaram arquivos ISO [entre outubro de 2021 e junho de 2022] começaram a usá-los em campanhas após janeiro de 2022", destacou a Proofpoint.
Para reforçar sua defesa contra essas mudanças nas táticas dos agentes de ameaças, Singh sugere que as pessoas tenham cuidado com e-mails não solicitados. Ele também alerta as pessoas contra clicar em links e abrir anexos, a menos que tenham certeza absoluta de que esses arquivos são seguros.
"Não confie em nenhuma fonte, a menos que você esteja esperando uma mensagem com um anexo", reiterou Singh. "Confie, mas verifique, por exemplo, ligue para o contato antes de [abrir um anexo] para ver se é realmente um e-mail importante de seu amigo ou um mal-intencionado de suas contas comprometidas."
