Cybercriminelen zijn overgestapt op nieuwe tactieken naar aanleiding van de aankondigingen van Microsoft dat macro's standaard worden geblokkeerd in Microsoft Office-applicaties. Dit blijkt uit nieuw onderzoek van Proofpoint. Aanvallers hebben op Microsoft gereageerd door af te stappen van op macro's gebaseerde aanvallen en in plaats daarvan meer gebruik maken van containerformats om malware te verspreiden. Proofpoint heeft geconstateerd dat het gebruik van VBA- en XL4-macro's met ongeveer 66% is afgenomen tussen oktober 2021 en juni 2022. Proofpoint stelt dat dit "een van de grootste verschuivingen in het dreigingslandschap voor e-mailaanvallen in de recente geschiedenis" is.
Microsoft kondigde in oktober 2021 en februari 2022 aan dat het XL4- en VBA-macro's standaard gaat blokkeren voor Office-gebruikers. De wijzigingen zijn uiteindelijk dit jaar van start gegaan. Cybercriminelen hebben hier op gereageerd door af te stappen van macro-gebaseerde aanvallen.
Containerbestanden in plaats van macro's
Op basis van data van Proofpoint tussen oktober 2021 tot en met juni 2022 blijkt dat het gebruik van documenten met macro's om malware te verspreiden met 66% is afgenomen. Daar staat tegenover dat criminelen steeds vaker kiezen voor containerbestanden zoals ISO- en RAR-bijlagen en Windows snelkoppelingen (LNK-bestanden).
VBA-macro's worden door cybercriminelen gebruikt om automatisch malafide content uit te voeren wanneer een gebruiker macro's heeft ingeschakeld in Office-applicaties. XL4-macro's zijn specifiek voor Excel bedoeld, maar kunnen ook als wapen worden gebruikt door aanvallers. Doorgaans maken criminelen die documenten met macro's verspreiden gebruik van social engineering om de ontvanger ervan te overtuigen dat de inhoud belangrijk is en dat macro's moeten worden ingeschakeld om deze te kunnen bekijken.
Voorbeeld van een Excel-bijlage met Emotet uit een recente campagne
Aanval via macro's gaan ook nog door
Onderzoekers van Proofpoint verwachtten dat aanvallers zouden afstappen van documenten met macro's die als bijlagen bij het bericht zijn gevoegd of via een URL zijn gedownload om de verdediging van Microsoft te omzeilen. Hoewel Proofpoint een opvallende toename van andere soorten bijlagen heeft waargenomen, worden documenten met macro's nog steeds in het hele bedreigingslandschap gebruikt. Onderzoekers van Proofpoint onderzochten het gebruik van meerdere bestandstypen vanaf oktober 2021 tot en met juni 2022 om het bedreigingslandschap beter te begrijpen en te anticiperen op toekomstig gedrag.
Mark of the Web omzeilen
Microsoft gaat VBA-macro's blokkeren op basis van een zogeheten Mark of the Web (MOTW)-attribuut dat aangeeft of een bestand van het internet komt, bekend als de Zone.Identifier. Microsoft-applicaties voegen dit kenmerk toe aan documenten die van het internet worden gedownload. MOTW kan echter worden omzeild door containerformats te gebruiken.
Aanvallers kunnen containerformats zoals ISO (.iso), RAR (.rar), ZIP (.zip) en IMG (.img) gebruiken om documenten met macro's te verzenden. Bij het downloaden zullen die bestanden het MOTW-attribuut hebben omdat ze van het internet zijn gedownload. Maar het interne document, zoals een spreadsheet met macro's, zal dat niet hebben. Wanneer het document wordt uitgepakt, moet de gebruiker nog steeds macro's inschakelen om de schadelijke code automatisch te laten uitvoeren, maar het bestandssysteem zal het document niet identificeren als afkomstig van het internet.
Campagne statistieken
Proofpoint ziet dat het aantal e-mailaanvallen waarbij documenten met macro's als bijlage worden gebruikt, significant is gedaald. Tussen oktober 2021 en juni 2022 daalde dit zelfs met meer dan twee derde. In ditzelfde tijdsbestek is het aantal campagnes dat gebruikmaakt van containerbestanden, waaronder ISO- en RAR-bestanden, en Windows Shortcut (LNK)-bijlagen met bijna 175% toegenomen.
Aantal e-mailaanvallen met containerformats versus macro's
Deze toename is deels toe te schrijven aan het toegenomen gebruik van ISO- en LNK-bestanden in campagnes. Cybercriminelen gebruiken deze bestanden steeds vaker als mechanisme voor de eerste toegang, bijvoorbeeld bij de verspreiding van Bumblebee. Het gebruik van ISO-bestanden is tussen oktober 2021 en juni 2022 met meer dan 150% toegenomen. Meer dan de helft van de 15 getraceerde cybercriminele groepen die in deze periode ISO-bestanden gebruikten, begon deze na januari 2022 in campagnes te gebruiken.
Conclusie
Cybercriminelen stappen af van documenten met macro's en kiezen steeds vaker voor andere bestandstypen om toegang te krijgen tot een organisatie. Deze verschuiving heeft te maken met het gebruik van ISO- en andere containerformats, evenals LNK-bestanden. Dergelijke bestandstypen kunnen de bescherming tegen macro's van Microsoft omzeilen, maar ook de distributie van uitvoerbare bestanden makkelijker maken. Dit kan vervolgens leiden tot nieuwe malware, dataverkenning, diefstal van data en ransomware.
Onderzoekers van Proofpoint achten de kans groot dat dit een van de grootste verschuivingen in het dreigingslandschap voor e-mailaanvallen is in de recente geschiedenis. Het is waarschijnlijk dat bedreigingsactoren containerformats blijven gebruiken om malware te verspreiden, en dat ze minder vertrouwen op bijlagen met macro's. De volledige analyse van het onderzoek kunt u hier onder bekijken of downloaden.
Advies om je bedrijf tegen de huidige en toekomstige bedreigingen te beschermen
- Beheers de basisprincipes om de kansen van cybercriminelen te verkleinen: zoals multifactorauthenticatie en patchbeheer en geef prioriteit aan zelfherstellende hardware om de veerkracht te vergroten.
- Bereid je voor op het ergste; beperk het risico van uw mensen en partners door processen in te stellen om de beveiliging van leveranciers te controleren en het personeel te onderwijzen over social engineering. Oefen met reacties op aanvallen, om problemen te kunnen identificeren, verbeteringen aan te brengen en beter voorbereid te zijn.
- Cybercriminaliteit is een teamsport en cyberbeveiliging moet dat ook zijn: praat met collega's om informatie over bedreigingen te delen en wees proactief door open discussies op ondergrondse forums te volgen. Werk samen met beveiligingsdiensten van derden om zwakke plekken en kritieke risico's aan het licht te brengen.
- Ga je online pas de ABC methode toe
- A = alert blijven
- B = bescherm jezelf
- C = check altijd
Bron: andere, proofpoint.com
Meer rapporten? Kijk dan hier »
Meer actueel nieuws
Overzicht cyberaanvallen week 13-2022
In Belarus wordt een "spooroorlog" gevoerd, hoeveelheid cyberaanvallen op EU-organen in vier jaar tijd vertienvoudigd en cyberaanval op 3 woningcorporaties in Nederland. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.
Cybercrime nieuwsbrief 203 week 13-2022
De onzichtbare oorlog in het conflict Oekraïne en Rusland, jongeren vaker slachtoffer dan ouderen en met cyberambassadeurs bereiken we meer mensen. Dit en meer lees je in nieuwsbrief 203.
Online opgelicht? Tóch je geld terug!
Een proef waarbij zoveel mogelijk wordt gedaan voor slachtoffers van online oplichting, is volgens de deelnemers zinvol. Tijdens de proef is geprobeerd om de slachtoffers in elk geval hun geld terug te laten krijgen. Dit lukte in meer dan een kwart van de gevallen geheel. In nog eens een kwart van de gevallen kregen de slachtoffers hun schade gedeeltelijk vergoed.
Hackers gebruiken nieuwe phishingtechniek
Cybersecurityexperts van Google hebben gezien dat 'GhostWriter' phishingcampagnes heeft opgezet met als doel om inloggegevens te bemachtigen. De groep gebruikt sinds kort een phishingtechniek die ‘Browser in a Browser’ wordt genoemd. Bezoekers worden dan doorgestuurd naar een gecompromitteerde site die op een betrouwbaar domein lijkt te staan. Wie probeert in te loggen krijgt een nieuw tabblad te zien. Gegevens die op deze pagina worden ingevoerd, belanden in de handen van de hackers.
"Met cyberambassadeurs bereiken we meer mensen"
Hoe zorg je ervoor dat burgers beter weerbaar worden tegen cybercriminelen? De gemeente Breda leidt daarvoor cyberambassadeurs op. Dit is zo’n succes dat het concept inmiddels ook toegepast wordt in andere steden, zoals Amsterdam, Utrecht en Den Haag. Hoe werkt het? We namen een kijkje op 1 van de trainingen.
Rusland waarschuwt “anonieme hackers en provocateurs”
Rusland waarschuwt overheden om geen cyberaanvallen uit te voeren tegen het land. Volgens het Russische ministerie van Buitenlandse Zaken voeren “anonieme hackers en provocateurs die het regime in Kiev steunen” een cyberoorlog van ongekende omvang. Het Kremlin belooft hard op te treden tegen deze cyberagressie.