Asosiy takliflar
- Microsoft’ning makroslarni bloklash qarori tahdid qiluvchi aktyorlarni zararli dasturlarni tarqatishning mashhur vositasidan mahrum qiladi.
- Ammo tadqiqotchilarning taʼkidlashicha, kiberjinoyatchilar soʻnggi zararli dasturlar kampaniyalarida allaqachon taktikani oʻzgartirgan va makroslardan foydalanishni sezilarli darajada kamaytirgan.
- Makrolarni bloklash toʻgʻri yoʻnalishdagi qadamdir, lekin oxir-oqibat, odamlar infektsiyani yuqtirmaslik uchun hushyorroq boʻlishlari kerak, deydi mutaxassislar.
Microsoft Microsoft Office-da sukut boʻyicha makroslarni blokirovka qilishga oʻz vaqtini sarflagan boʻlsa-da, tahdid qiluvchilar bu cheklovni tezda hal qilishdi va yangi hujum vektorlarini ishlab chiqishdi.
Xavfsizlik sotuvchisi Proofpoint tomonidan olib borilgan yangi tadqiqotlarga ko'ra, makrolar endi zararli dasturlarni tarqatishning sevimli vositasi emas. Umumiy makrolardan foydalanish 2021-yilning oktyabridan 2022-yilning iyuniga qadar taxminan 66% ga kamaydi. Boshqa tomondan, ISO fayllaridan foydalanish (disk tasviri) 150% dan oshgan, LNK (Windows File Shortcut) dan foydalanish fayllar bir xil vaqt oralig'ida hayratlanarli 1,675% ga oshdi. Bu fayl turlari Microsoft’ning makro blokirovkalash himoyasini chetlab o‘tishi mumkin.
“Tahdid ishtirokchilari elektron pochtada makro-asosli qoʻshimchalarni toʻgʻridan-toʻgʻri tarqatishdan voz kechishlari tahdidlar manzarasida sezilarli oʻzgarishlarni anglatadi”, dedi Sherrod DeGrippo, Proofpoint tahdidlarni oʻrganish va aniqlash boʻyicha vitse-prezidenti, press-relizda. “Tahdid qiluvchilar endi zararli dasturlarni yetkazib berishning yangi taktikalarini qo‘llamoqdalar va ISO, LNK va RAR kabi fayllardan ko‘proq foydalanish davom etishi kutilmoqda.”
Zamon bilan harakat qilish
Lifewire bilan elektron pochta almashinuvida Cyphere kiberxavfsizlik xizmati provayderi direktori Xarman Singx makrolarni Microsoft Office-dagi vazifalarni avtomatlashtirish uchun ishlatilishi mumkin bo'lgan kichik dasturlar sifatida ta'rifladi, XL4 va VBA makroslari eng ko'p ishlatiladigan makrolardir. Office foydalanuvchilari.
Kiberjinoyat nuqtai nazaridan, Singxning ta'kidlashicha, tahdid qiluvchi aktyorlar ba'zi yomon hujum kampaniyalari uchun makrolardan foydalanishi mumkin. Misol uchun, makrolar jabrlanuvchining kompyuterida tizimga kirgan shaxs bilan bir xil imtiyozlarga ega bo'lgan zararli kod qatorlarini bajarishi mumkin. Tahdid qiluvchilar bu ruxsatdan suiisteʼmol qilib, buzilgan kompyuter maʼlumotlarini oʻchirib tashlashi yoki hatto zararli dastur serverlaridan qoʻshimcha zararli kontentni tortib olishi mumkin.
Biroq, Singx tezda Office kompyuter tizimlarini yuqtirishning yagona yo'li emasligini qo'shimcha qildi, lekin "bu Internetdagi deyarli hamma tomonidan Office hujjatlaridan foydalanishi tufayli eng mashhur [maqsadlardan] biri."
Xavf ostida hukmronlik qilish uchun Microsoft Internet kabi ishonchsiz joylardan ba'zi hujjatlarni Internetning Mark of Web (MOTW) atributi, triggerlar xavfsizligini belgilovchi kodlar qatori bilan belgilashni boshladi.
Oʻz tadqiqotida Proofpoint makrolardan foydalanishning kamayishi Microsoftning MOTW atributini fayllarga teg qoʻyish qaroriga bevosita javob ekanligini taʼkidlaydi.
Singx hayron emas. Uning tushuntirishicha, ISO va RAR fayllari kabi siqilgan arxivlar Office-ga tayanmaydi va zararli kodlarni mustaqil ravishda ishga tushirishi mumkin. “Ko‘rinib turibdiki, taktikani o‘zgartirish kiberjinoyatchilar strategiyasining bir qismi bo‘lib, ular [odamlarni yuqtirish] ehtimoli yuqori bo‘lgan eng yaxshi hujum usuliga o‘z kuchlarini sarflaydilar.”
Zararli dastur bor
Zararli dasturlarni ISO va RAR fayllari kabi siqilgan fayllarga joylashtirish, shuningdek, fayllar tuzilishi yoki formatini tahlil qilishga qaratilgan aniqlash usullaridan qochishga yordam beradi, deb tushuntirdi Singx. "Masalan, ISO va RAR fayllarini aniqlashning koʻpchiligi fayl imzolariga asoslanadi, ularni ISO yoki RAR faylini boshqa siqish usuli bilan siqish orqali osongina olib tashlash mumkin."
Proofpoint ma'lumotlariga ko'ra, xuddi ularning oldidagi zararli makroslar kabi, bu zararli dasturlar bilan to'ldirilgan arxivlarni tashishning eng mashhur usuli bu elektron pochta orqali.
Proofpoint tadqiqoti turli xil mashhur tahdidchilar faoliyatini kuzatishga asoslangan. Unda Bumblebee va Emotet zararli dasturlarini tarqatuvchi guruhlar hamda bir qancha boshqa kiberjinoyatchilar tomonidan barcha turdagi zararli dasturlar uchun foydalanilayotgan yangi boshlang‘ich kirish mexanizmlaridan foydalanish kuzatildi.
"ISO fayllaridan foydalangan kuzatilgan 15 ta tahdid qiluvchining yarmidan koʻpi [2021-yil oktabridan 2022-yil iyunigacha] 2022-yil yanvaridan keyin kampaniyalarda ulardan foydalanishni boshladi”, deb taʼkidladi Proofpoint.
Tahdid qiluvchilar tomonidan taktikadagi ushbu oʻzgarishlardan himoyalanishni kuchaytirish uchun Singx odamlarga kiruvchi elektron pochta xabarlaridan ehtiyot boʻlishni tavsiya qiladi. Shuningdek, u odamlarni havolalarni bosishdan va agar ular bu fayllar xavfsiz ekanligiga shubha qilmasa, biriktirmalarni ochishdan ogohlantiradi.
"Agar siz ilovasi bo'lgan xabarni kutmasangiz, hech qanday manbaga ishonmang", - deb takrorladi Singx. “Ishoning, lekin tasdiqlang, masalan, [ilovani ochishdan] oldin kontaktga qo‘ng‘iroq qiling, bu haqiqatan ham do‘stingizdan kelgan muhim xatmi yoki uning buzilgan akkauntlaridagi zararli xatmi."
