Med Microsoft inaktiverar makron som standard, övergår hackare till nya alternativa metoder för att distribuera skadlig programvara på måldatorn, säger Proofpoint-forskare.
De noterade att hackarna använder containerfiltyper som ISO, RAR och Windows Shortcut (LNK) mer än de vanliga Docx- och XLS-filerna, eftersom de är föråldrade nu utan stöd för makron. Ändå utsätts hackare för mer kamp med de nya filtyperna, eftersom de behöver stöd från målet för att äventyras.
Skiftar till containerfiler
Hittills har ett nätfiske-e-postmeddelande innehållit en skadlig Word- eller Excel-fil från hackare som ber målen att öppna och aktivera makron för att göra den mer synlig. Men den faktiska orsaken är att köra deras skadliga program i bakgrunden eftersom makron har förmågan att göra det.
VBA- och XL4-makron är små Microsoft-program skapade för att automatisera repetitiva uppgifter i Office-program. Eftersom dessa missbrukas av hackare beslutade Microsoft att blockera dem som standard i alla kontorsappar.
Även om denna förändring hade blivit effektiv förra veckan, började hackare gå över till andra bättre sätt för månader sedan. Som noterats av Proofpoint-forskarnamellan oktober 2021 och juni 2022 skedde en betydande minskning av nyttolastfördelningen med hjälp av makron.
Samtidigt noterade de att hackare som använder containerfiltyper som ISO, ZIP och RAR ökade med nästan 175%. Användningen av LNK-filer, särskilt, exploderade efter februari 2022 med 1 675 % jämfört med oktober 2021 – och blev det främsta vapnet för tio enskilda hotgrupper, säger Proofpoint.
Vi har redan sett några av de största botnätgängen – QBot och Emotet använder LNK-filer i sina kampanjer, eftersom de kan utföra nästan alla kommandon som användaren har tillstånd att använda. De föredras att köra PowerShell-skript, som kan ladda ner och köra skadlig programvara från fjärrkällor.
Även om det är lätt för hackare att hitta alternativ, är de inte effektiva som de vanliga Docx- eller XLS-filerna eftersom behållarfilerna skulle kräva att målen anstränger sig extra för att få dem att fungera.
