Cybercriminelen stappen in hun aanvalsmethoden af van documenten met macro's en kiezen steeds vaker voor andere bestandstypen om toegang te krijgen tot systemen. Bijvoorbeeld via iso-bestanden en andere containerformats. Ook lnk-bestanden, die gebruikt worden voor een verwijzingen naar het officiële bestand in Windows, worden door criminelen misbruikt.
Dat concludeert de Amerikaanse ict-beveiliger Proofpoint na onderzoek. ‘Dergelijke bestandstypen kunnen de bescherming tegen macro’s van Microsoft omzeilen, maar ook de distributie van uitvoerbare bestanden makkelijker maken’, waarschuwt de ict-beveiliger in een persbericht. ‘Dit kan vervolgens leiden tot nieuwe malware, dataverkenning, diefstal van data en ransomware.’
Microsoft kondigde in oktober 2021 aan dat het xl4- en vba-macro’s standaard gaat blokkeren voor Office-gebruikers. De wijzigingen zijn dit jaar van start gegaan. Volgens de ict-beveiliger hebben cybercriminelen daar op gereageerd door af te stappen van aanvallen die gebaseerd zijn op marcro’s.
Uit een data-analyse die Proofpoint van oktober 2021 tot en met juni 2022 uitvoerde, blijkt namelijk dat het gebruik van documenten met macro’s om malware te verspreiden met 66 procent is afgenomen. In diezelfde periode is het aantal campagnes dat gebruikmaakt van containerbestanden, waaronder iso en rar-bestanden, en ‘Windows Shortcut-bijlagen’ (lnk)- met bijna 175 procent toegenomen.
Microsoft
De beveiliger: ‘Vba-macro’s worden door cybercriminelen gebruikt om automatisch malafide content uit te voeren wanneer een gebruiker macro’s heeft ingeschakeld in Office-applicaties. xl4-macro’s zijn specifiek voor Excel bedoeld, maar kunnen ook als wapen worden gebruikt door aanvallers.’
Doorgaans maken criminelen die documenten met macro’s verspreiden gebruik van social engineering om de ontvanger ervan te overtuigen dat de inhoud belangrijk is en dat macro’s moeten worden ingeschakeld om deze te kunnen bekijken.
De onderzoekers verwachtten dat aanvallers zouden afstappen van documenten met macro’s die als bijlagen bij het bericht zijn gevoegd of via een url zijn gedownload om de verdediging van Microsoft te omzeilen. Maar, hoewel er een opvallende toename van andere soorten bijlagen is gespot, worden documenten met macro’s nog steeds in het hele bedreigingslandschap gebruikt.
Mark-of-the-Web omzeilen
Proofpoint: ‘Microsoft gaat vba-macro’s blokkeren op basis van een zogeheten Mark of the Web (MOTW)-attribuut dat aangeeft of een bestand van het internet komt. Dat staat bekend als de Zone.Identifier. Microsoft-applicaties voegen dit kenmerk toe aan documenten die van het internet worden gedownload. MOTW kan echter worden omzeild door containerformats te gebruiken.’
Dat werkt als volgt: ‘Aanvallers kunnen containerformats .iso, .rar, .zip) en .img gebruiken om documenten met macro’s te verzenden. Bij het downloaden zullen die bestanden het MOTW-attribuut hebben omdat ze van het internet zijn gedownload. Maar het interne document, zoals een spreadsheet met macro’s, zal dat niet hebben. Wanneer het document wordt uitgepakt, moet de gebruiker nog steeds macro’s inschakelen om de schadelijke code automatisch te laten uitvoeren, maar het bestandssysteem zal het document niet identificeren als afkomstig van het internet’, schrijft de beveiliger.
Deze toename is deels toe te schrijven aan het toegenomen gebruik van iso- en lnk-bestanden in campagnes. ‘Cybercriminelen gebruiken deze bestanden steeds vaker als mechanisme voor de eerste toegang’, als voorbeeld wordt de verspreiding van Bumblebee-malware genoemd. Het gebruik van iso-bestanden is tussen oktober 2021 en juni 2022 met meer dan 150 procent toegenomen. ‘Meer dan de helft van de 15 getraceerde cybercriminele groepen die in deze periode iso-bestanden gebruikten, begon deze na januari 2022 in campagnes te gebruiken’, aldus de onderzoekers.