Napadači pronalaze nove načine da zaobiđu Microsoftovu makro zaštitu

Istraživači Proofpoint-a su primetili da se zlonamerni Office dokumenti sa makro naredbama prikačenim direktno uz poruke sve manje koriste za isporuku malvera. Napadači prelaze na priloge e-pošte koristeći Windows shortcut datoteke (LNK) i datoteke koje inkapsuliraju sadržaj, kao što su ISO i RAR.

U februaru 2022., Microsoft je najavio default blokiranje VBA makro naredbi dobijenih sa Interneta za Office aplikacije koje pokreću makronaredbe, što je konačno implementirano prošle nedelje.

Microsoft blokira makronaredbe oslanjajući se na funkciju Mark Of The Web (MOTW) koja pokazuje da li je datoteka preuzeta ili potiče sa Interneta. Zbog toga, napadači postepeno prelaze na druge tipove priloga kao što su ISO, RAR, ZIP i IMG koji mogu da inkapsuliraju Office datoteku i onemoguće atribut Mark of the Web (MOTV) na njoj.

Ovaj potez Microsofta svakako otežava distribuciju zlonamernog softvera zasnovanog na makroima, jer povećava broj radnji koje korisnik mora da izvrši da bi aktivirao zlonamerni kod.

S druge strane, ovaj novi trend pokazuje stalnu adaptaciju i inovaciju zlonamernih aktera u pronalaženju novih načina za napad na korisnike.

Saznajte više na Help Net Security.