Napadači pronalaze nove načine kako zaobići Microsoftovu zaštitu od makro naredbi

Proofpoint istraživači su primijetili da se zlonamjerni Office dokumenti s makro naredbama priloženim direktno porukama sve manje koriste za isporuku zlonamjernog softvera. Napadači se prebacuju na priloge e-pošte koristeći Windows prečice (LNK) i datoteke za enkapsulaciju sadržaja, kao što su ISO i RAR.

U februaru 2022., Microsoft je najavio podrazumevano blokiranje VBA makro naredbi dobijenih sa Interneta za Office aplikacije koje pokreću makro naredbe, što je konačno implementirano prošle nedelje.

Microsoft blokira makronaredbe oslanjajući se na funkciju Mark Of The Web (MOTW) koja pokazuje da li je datoteka preuzeta ili potiče sa Interneta. Stoga, napadači postepeno prelaze na druge tipove priloga kao što su ISO, RAR, ZIP i IMG koji mogu enkapsulirati Office datoteku i onemogućiti atribut Mark of the Web (MOTW) na njemu.

Microsoftov potez svakako otežava distribuciju zlonamjernog softvera baziranog na makro naredbama, jer povećava broj radnji koje korisnik mora izvršiti da bi aktivirao zlonamjerni kod.

S druge strane, ovaj novi trend pokazuje stalnu prilagodbu i inovativnost zlonamjernih aktera u pronalaženju novih načina napada na korisnike.

Saznajte više na Help Net Security.