Импровизируй, адаптируйся, выживай: блокировка макросов в MS Office заставила хакеров использовать другие методы атаки

В ответ на решение Microsoft заблокировать макросы Excel 4.0 (XLM или XL4) и Visual Basic for Applications (VBA) по умолчанию в приложениях Microsoft Office , злоумышленники начали использовать новые методы атак. Исследователи из компании Proofpoint сообщили, что в своих вредоносных кампаниях хакеры все чаще используют ISO, RAR и LNK.

В анализе Proofpoint сказано, что киберпреступники стали использовать макросы на 66% реже в период с октября 2021 года по июнь 2022 года. Это связано с появлением функции безопасности Mark of the Web (MoTW), которую хакеры пытаются обойти.

Mark of the Web – это функция, помогающая защищать устройства пользователей от вредоносных файлов, загруженных из сети. Система ставит специальную маркировку на все документы и файлы, попадающие на компьютер. Эта маркировка заставляет другие программы аккуратнее вести себя с новыми файлами. Например, Microsoft Office открывает документы с пометкой MoTW в специальном защищенном режиме.

Исследователи заметили, что количество вредоносных кампаний, использующих LNK-файлы, увеличилось на 1675% с октября 2021 года.

Эксперты считают все происходящее одним из крупнейших изменений ландшафта угроз, связанных с электронной почтой. По их словам, злоумышленники будут все меньше и меньше полагаться на макросы, используя вместо них ISO, RAR и LNK-файлы.