Setelah Microsoft mengumumkan akan mulai memblokir makro VBA dan XL4 secara default untuk aplikasi Home windows Workplace akhir tahun lalu, penyerang mulai menggunakan file kontainer seperti lampiran ISO dan RAR dan file pintasan Home windows (LNK) untuk mengirimkan muatan sebagai gantinya.
“Kami melihat perilaku berubah di seluruh lanskap ancaman, dan seperti yang disebutkan oleh peneliti kami dalam laporan, mereka menilai dengan keyakinan tinggi bahwa ini adalah salah satu pergeseran lanskap ancaman e mail terbesar dalam sejarah baru-baru ini,” kata Sherrod DeGrippo, wakil presiden Risk Analysis dan Deteksi di Proofpoint. “Aktor ancaman memperhatikan apa yang berhasil dan apa yang tidak, mereka terus mencari cara untuk menjadi lebih efektif dengan serangan mereka.”
Menurut vendor keamanan Proofpoint, antara Oktober 2021 dan Juni 2022, penggunaan makro untuk mengirimkan muatan malware menurun 66%.
Makro VBA digunakan oleh pelaku ancaman untuk menjalankan konten berbahaya secara otomatis saat pengguna telah mengaktifkan makro secara aktif di aplikasi Workplace. Makro XL4 khusus untuk aplikasi Excel tetapi juga dapat dipersenjatai oleh pelaku ancaman, kata Proofpoint. Pelaku ancaman menggunakan taktik rekayasa sosial untuk membuat pengguna mengaktifkan makro, yang diperlukan untuk melihat konten file.
MELIHAT: Kebijakan keamanan perangkat seluler (Premium TechRepublic)
“Aktor jahat mengirim makro dalam file Workplace ke pengguna akhir yang tanpa sadar mengaktifkannya, muatan berbahaya dikirim, dan dampaknya bisa parah termasuk malware, identitas yang disusupi, kehilangan information, dan akses jarak jauh,” kata Microsoft dalam posting weblog yang membahas masalah tersebut. .
Melewati Tanda Internet
Microsoft memblokir makro VBA berdasarkan atribut Mark of the Internet (MOTW) yang dikenal sebagai pengidentifikasi zona yang menunjukkan jika file berasal dari web, sumber terbatas, dan, oleh karena itu, jika file tersebut dapat dipercaya. Masalahnya adalah MOTW dapat dilewati dengan menggunakan format file kontainer seperti ISO (.iso), RAR (.rar), ZIP (.zip) dan IMG (.img) untuk mengirim dokumen yang mendukung makro.
“Saat diunduh, file ISO, RAR, dll. akan memiliki atribut MOTW karena diunduh dari web, tetapi dokumen di dalamnya, seperti spreadsheet yang mendukung makro, tidak akan,” kata Proofpoint dalam siaran pers. “Ketika dokumen diekstraksi, pengguna masih harus mengaktifkan makro agar kode berbahaya dapat dijalankan secara otomatis, tetapi sistem file tidak akan mengidentifikasi dokumen tersebut sebagai berasal dari internet.”
Penyerang juga dapat menggunakan file kontainer untuk mendistribusikan muatan secara langsung, kata Proofpoint. File kontainer dapat mengaburkan LNK, DLL, atau file yang dapat dieksekusi (.exe) yang mengarah ke penginstalan muatan berbahaya saat dibuka. File Container XLL, jenis file dynamic hyperlink library (DLL) untuk Excel, juga mengalami sedikit peningkatan penggunaan setelah Microsoft mengumumkan akan menonaktifkan makro XL4 pada tahun 2021.
MELIHAT: Pelanggaran kata sandi: Mengapa budaya pop dan kata sandi tidak bercampur (PDF free of charge) (TekRepublik)
Proofpoint juga melaporkan sedikit peningkatan dalam penggunaan lampiran HTML untuk mengirimkan malware. Jumlah kampanye malware yang menggunakan lampiran HTML lebih dari dua kali lipat dari Oktober 2021 hingga Juni 2022, tetapi jumlah keseluruhannya tetap rendah.
“Meskipun jenis file telah berubah, pelaku ancaman masih menggunakan beragam taktik rekayasa sosial yang sama untuk membuat orang membuka dan mengklik,” kata DeGrippo. “Pertahanan terbaik adalah pendekatan berlapis-lapis di mana orang-orang berada di pusat strategi keamanan Anda.”
