Bài học rút ra chính
- Quyết định chặn macro của Microsoft sẽ cướp đi các tác nhân đe dọa đối với phương tiện phổ biến này để phát tán phần mềm độc hại.
- Tuy nhiên, các nhà nghiên cứu lưu ý rằng tội phạm mạng đã thay đổi chiến thuật và giảm đáng kể việc sử dụng macro trong các chiến dịch phần mềm độc hại gần đây.
- Chặn macro là một bước đi đúng hướng, nhưng càng về cuối, mọi người cần cảnh giác hơn để tránh bị lây nhiễm, đề nghị các chuyên gia.
Mặc dù Microsoft đã dành thời gian khó khăn để quyết định chặn macro theo mặc định trong Microsoft Office, các tác nhân đe dọa đã nhanh chóng khắc phục hạn chế này và phát minh ra các vectơ tấn công mới.
Theo nghiên cứu mới của nhà cung cấp bảo mật Proofpoint, macro không còn là phương tiện phổ biến để phát tán phần mềm độc hại nữa. Việc sử dụng các macro phổ biến đã giảm khoảng 66% trong khoảng thời gian từ tháng 10 năm 2021 đến tháng 6 năm 2022. Mặt khác, việc sử dụng tệp ISO (ảnh đĩa) đã tăng hơn 150%, trong khi việc sử dụng LNK (Phím tắt tệp của Windows) các tệp đã tăng đáng kinh ngạc 1, 675% trong cùng một khung thời gian. Các loại tệp này có thể vượt qua các biện pháp bảo vệ chặn macro của Microsoft.
"Các tác nhân đe dọa xoay quanh việc phân phối trực tiếp các tệp đính kèm dựa trên macro trong email thể hiện một sự thay đổi đáng kể trong bối cảnh mối đe dọa", Sherrod DeGrippo, Phó Chủ tịch, Nghiên cứu và Phát hiện Đe dọa tại Proofpoint, cho biết trong một thông cáo báo chí. "Các tác nhân đe dọa hiện đang áp dụng các chiến thuật mới để phân phối phần mềm độc hại và việc sử dụng các tệp như ISO, LNK và RAR ngày càng tăng dự kiến sẽ tiếp tục."
Di chuyển Theo Thời đại
Trong một cuộc trao đổi qua email với Lifewire, Harman Singh, Giám đốc tại nhà cung cấp dịch vụ an ninh mạng Cyphere, đã mô tả macro là những chương trình nhỏ có thể được sử dụng để tự động hóa các tác vụ trong Microsoft Office, với macro XL4 và VBA là macro được sử dụng phổ biến nhất bởi Người dùng văn phòng.
Từ góc độ tội phạm mạng, Singh cho biết những kẻ đe dọa có thể sử dụng macro cho một số chiến dịch tấn công khá khó chịu. Ví dụ: macro có thể thực thi các dòng mã độc hại trên máy tính của nạn nhân với các đặc quyền giống như người đã đăng nhập. Các tác nhân đe dọa có thể lạm dụng quyền truy cập này để lấy dữ liệu từ một máy tính bị xâm nhập hoặc thậm chí lấy thêm nội dung độc hại từ máy chủ của phần mềm độc hại để lấy phần mềm độc hại thậm chí còn gây hại hơn.
Tuy nhiên, Singh đã nhanh chóng bổ sung rằng Office không phải là cách duy nhất để lây nhiễm hệ thống máy tính, nhưng "nó là một trong những [mục tiêu] phổ biến nhất do hầu hết mọi người trên Internet đều sử dụng các tài liệu Office."
Để thống trị mối đe dọa, Microsoft bắt đầu gắn thẻ một số tài liệu từ các địa điểm không đáng tin cậy, chẳng hạn như Internet, với thuộc tính Mark of the Web (MOTW), một chuỗi mã chỉ định các tính năng bảo mật.
Trong nghiên cứu của mình, Proofpoint tuyên bố việc giảm sử dụng macro là phản ứng trực tiếp đối với quyết định của Microsoft về việc gắn thẻ thuộc tính MOTW vào tệp.
Singh không ngạc nhiên. Ông giải thích rằng các tệp nén như tệp ISO và RAR không dựa vào Office và có thể tự chạy mã độc. "Rõ ràng là thay đổi chiến thuật là một phần trong chiến lược của tội phạm mạng để đảm bảo chúng nỗ lực vào phương pháp tấn công tốt nhất có xác suất [lây nhiễm cho người] cao nhất."
Chứa Phần mềm độc hại
Nhúng phần mềm độc hại vào các tệp nén như tệp ISO và RAR cũng giúp tránh các kỹ thuật phát hiện tập trung vào phân tích cấu trúc hoặc định dạng của tệp, Singh giải thích. "Ví dụ: nhiều phát hiện đối với tệp ISO và RAR dựa trên chữ ký tệp, có thể dễ dàng loại bỏ bằng cách nén tệp ISO hoặc RAR bằng một phương pháp nén khác."
Theo Proofpoint, cũng giống như các macro độc hại trước chúng, phương tiện phổ biến nhất để vận chuyển các kho lưu trữ chứa đầy phần mềm độc hại này là thông qua email.
Nghiên cứu củaProofpoint dựa trên việc theo dõi các hoạt động của các tác nhân đe dọa khét tiếng khác nhau. Nó đã quan sát thấy việc sử dụng các cơ chế truy cập ban đầu mới được sử dụng bởi các nhóm phân phối Bumblebee và phần mềm độc hại Emotet, cũng như một số tội phạm mạng khác, cho tất cả các loại phần mềm độc hại.
"Hơn một nửa trong số 15 tác nhân đe dọa được theo dõi đã sử dụng tệp ISO [từ tháng 10 năm 2021 đến tháng 6 năm 2022] đã bắt đầu sử dụng chúng trong các chiến dịch sau tháng 1 năm 2022", Proofpoint nhấn mạnh.
Để củng cố khả năng phòng thủ của bạn trước những thay đổi chiến thuật này của các tác nhân đe dọa, Singh đề nghị mọi người nên cảnh giác với các email không được yêu cầu. Anh ấy cũng cảnh báo mọi người không nên nhấp vào liên kết và mở tệp đính kèm trừ khi họ tự tin rằng những tệp này an toàn.
"Đừng tin vào bất kỳ nguồn nào trừ khi bạn đang mong đợi một tin nhắn có tệp đính kèm," Singh nhắc lại. "Hãy tin tưởng, nhưng hãy xác minh, chẳng hạn, hãy gọi cho người liên hệ trước khi [mở tệp đính kèm] để xem đó thực sự là một email quan trọng từ bạn bè của bạn hay một email độc hại từ các tài khoản bị xâm nhập của họ."
