.
A decisão da Microsoft de bloquear macros provenientes da Internet por padrão no ano passado está forçando os invasores a encontrar maneiras novas e criativas de comprometer os sistemas e distribuir malware, de acordo com pesquisadores de ameaças da Proofpoint.
“O ecossistema cibercriminoso experimentou uma mudança monumental na atividade e no comportamento das ameaças no último ano, de uma forma não observada anteriormente pelos pesquisadores de ameaças”, escreveu a equipe de segurança em um relatório. [PDF] pouco antes do fim de semana. “Atores de ameaças com motivação financeira que obtêm acesso inicial por e-mail não estão mais usando cadeias de ataque estáticas e previsíveis, mas técnicas dinâmicas e que mudam rapidamente”.
Houve mais de 700 campanhas cibernéticas em 2021 que usaram macros do Visual Basic for Applications (VBA) em seus ataques, e quase o mesmo número usou macros XL4, que são específicas do Excel, escreveram os pesquisadores.
Sem macros para você
Depois de Redmond bloqueado ambos os tipos de macros como padrão no ano passado, quando baixado da internetpara reforçar a segurança dos usuários do Office, o número de campanhas que usaram qualquer uma das técnicas caiu quase 66% e, nos primeiros três meses deste ano, “as macros mal apareceram nos dados da campanha”, afirmou o Team Proofpoint.
“Essa mudança é amplamente impulsionada pelo bloqueio de macros por padrão da Microsoft e forçando todos ao longo da cadeia alimentar de agentes de ameaças, desde pequenos criminosos até os cibercriminosos mais experientes que permitem que grandes ataques de ransomware mudem a maneira como conduzem os negócios”, de acordo com os pesquisadores.
Em vez disso, os criminosos agora estão encontrando novos caminhos para obter acesso inicial aos sistemas das vítimas, alguns dos quais detalhamos em Strong The OneIncluindo arquivos LNKanexos ISO e RAR e suplementos XLL do Excel, pelo menos até que a Microsoft bloqueado aqueles no início deste ano.
Os profissionais de segurança pressionaram a Microsoft a bloquear macros baixadas como padrão bem antes da mudança de Redmond, observando seu amplo uso por cibercriminosos. Desde que o fornecedor do software revisitou seus padrões, houve uma mudança significativa no comportamento e nas técnicas entre os criminosos online, escreveram os pesquisadores da Proofpoint.
Eles analisaram a telemetria coletada de bilhões de mensagens por dia e pesquisaram dados de campanhas de ameaças entre janeiro de 2021 e março de 2023.
Os cibercriminosos distribuíram documentos habilitados para macro para usuários-alvo e contaram com técnicas de engenharia social para convencer as vítimas de que o conteúdo era importante e que habilitar macros seria necessário para visualizá-lo. Se os destinatários da mensagem fizeram isso, a carga de malware foi entregue.
Ataques imitadores
Agora eles não estão apenas abandonando as macros, mas estão testando outros métodos para obter acesso inicial por e-mail e não há uma técnica consistente e confiável que esteja sendo amplamente adotada entre os canalhas.
Além disso, parece haver uma mentalidade de seguir o líder entre os bandidos. Um ou mais grupos de ameaças adotarão uma nova técnica que dentro de semanas e meses será usada por ainda mais malfeitores. E essa tendência promete continuar, sugeriu a Proofpoint.
“Alguns atores de crimes eletrônicos mais sofisticados têm tempo e recursos disponíveis para desenvolver, iterar e testar diferentes técnicas de entrega de malware”, escreveram os pesquisadores.
A tendência de copiar o que outros grupos de ameaças estão fazendo ficou aparente no uso de arquivos LNK. Antes de abril de 2022, poucos corretores de acesso inicial (AIB) – grupos que obtêm acesso a sistemas comprometidos e depois vendem esse acesso a outros cibercriminosos, incluindo operadores de ransomware – usavam arquivos LNK.
Mas quatro grupos de ameaças começaram a usar esse arquivo, incluindo TA542 para entregar o notório Malware emotete logo outros estavam fazendo o mesmo até que a popularidade do LNK começou a desaparecer em favor de outros métodos.
Anexos HTML e PDF se tornam populares
Entre eles está o contrabando de HTML, cujo uso acelerou entre junho e outubro de 2022 antes de cair e voltar em fevereiro. Os malfeitores usam a técnica para contrabandear scripts maliciosos codificados em um anexo HTML. Quando o anexo é aberto, o navegador da Web decodifica o script, que monta o malware no computador comprometido.
Eles também usam arquivos PDF que incluem um URL que inicia uma cadeia de ataque, que está em uso desde dezembro, especialmente o TA570, conhecido por fornecer o Qbot trojan bancário e malware para roubo de informações.
O TA570 também foi visto pela Proofpoint experimentando a criptografia de anexos em PDF em uma ampla campanha em abril. O grupo usa criptografia para tornar mais difícil para os defensores detectar a ameaça, muitas vezes com sucesso.
Os documentos do OneNote entram em cena
Em dezembro de 2022, a Proofpoint viu campanhas usando documentos do OneNote para entregar o trojan de acesso remoto AsyncRAT. O OneNote da Microsoft é um aplicativo de anotações digitais no Microsoft 365 usado para armazenar informações, planos, pesquisas e outros dados. Em poucos meses, havia mais de 120 campanhas usando arquivos do OneNote.
A experimentação contínua com novas técnicas vai forçar os caçadores de ameaças, analistas de malware e outros defensores a se adaptar rapidamente, detectar campanhas e criar defesas, escreveram os pesquisadores da Proofpoint.
“A experimentação e o giro regular para novas técnicas de entrega de carga útil por agentes de ameaças rastreados, especialmente IABs, são muito diferentes das cadeias de ataque observadas antes de 2022 e anunciam um novo normal de atividade de ameaças”, escreveram os pesquisadores.
“É improvável que haja uma única cadeia de ataque ou série de técnicas que permaneçam consistentes ou tenham o mesmo poder de permanência que os anexos habilitados para macro já tiveram”. ®
.
