Cybercriminelen zijn overgestapt op nieuwe tactieken naar aanleiding van de aankondigingen van Microsoft dat macro's standaard worden geblokkeerd in Microsoft Office-applicaties. Dit blijkt uit nieuw onderzoek van Proofpoint. Aanvallers hebben op Microsoft gereageerd door af te stappen van op macro's gebaseerde aanvallen en in plaats daarvan meer gebruik maken van containerformats om malware te verspreiden. Proofpoint heeft geconstateerd dat het gebruik van VBA- en XL4-macro's met ongeveer 66% is afgenomen tussen oktober 2021 en juni 2022. Proofpoint stelt dat dit "een van de grootste verschuivingen in het dreigingslandschap voor e-mailaanvallen in de recente geschiedenis" is.
Microsoft kondigde in oktober 2021 en februari 2022 aan dat het XL4- en VBA-macro's standaard gaat blokkeren voor Office-gebruikers. De wijzigingen zijn uiteindelijk dit jaar van start gegaan. Cybercriminelen hebben hier op gereageerd door af te stappen van macro-gebaseerde aanvallen.
Containerbestanden in plaats van macro's
Op basis van data van Proofpoint tussen oktober 2021 tot en met juni 2022 blijkt dat het gebruik van documenten met macro's om malware te verspreiden met 66% is afgenomen. Daar staat tegenover dat criminelen steeds vaker kiezen voor containerbestanden zoals ISO- en RAR-bijlagen en Windows snelkoppelingen (LNK-bestanden).
VBA-macro's worden door cybercriminelen gebruikt om automatisch malafide content uit te voeren wanneer een gebruiker macro's heeft ingeschakeld in Office-applicaties. XL4-macro's zijn specifiek voor Excel bedoeld, maar kunnen ook als wapen worden gebruikt door aanvallers. Doorgaans maken criminelen die documenten met macro's verspreiden gebruik van social engineering om de ontvanger ervan te overtuigen dat de inhoud belangrijk is en dat macro's moeten worden ingeschakeld om deze te kunnen bekijken.
Voorbeeld van een Excel-bijlage met Emotet uit een recente campagne
Aanval via macro's gaan ook nog door
Onderzoekers van Proofpoint verwachtten dat aanvallers zouden afstappen van documenten met macro's die als bijlagen bij het bericht zijn gevoegd of via een URL zijn gedownload om de verdediging van Microsoft te omzeilen. Hoewel Proofpoint een opvallende toename van andere soorten bijlagen heeft waargenomen, worden documenten met macro's nog steeds in het hele bedreigingslandschap gebruikt. Onderzoekers van Proofpoint onderzochten het gebruik van meerdere bestandstypen vanaf oktober 2021 tot en met juni 2022 om het bedreigingslandschap beter te begrijpen en te anticiperen op toekomstig gedrag.
Mark of the Web omzeilen
Microsoft gaat VBA-macro's blokkeren op basis van een zogeheten Mark of the Web (MOTW)-attribuut dat aangeeft of een bestand van het internet komt, bekend als de Zone.Identifier. Microsoft-applicaties voegen dit kenmerk toe aan documenten die van het internet worden gedownload. MOTW kan echter worden omzeild door containerformats te gebruiken.
Aanvallers kunnen containerformats zoals ISO (.iso), RAR (.rar), ZIP (.zip) en IMG (.img) gebruiken om documenten met macro's te verzenden. Bij het downloaden zullen die bestanden het MOTW-attribuut hebben omdat ze van het internet zijn gedownload. Maar het interne document, zoals een spreadsheet met macro's, zal dat niet hebben. Wanneer het document wordt uitgepakt, moet de gebruiker nog steeds macro's inschakelen om de schadelijke code automatisch te laten uitvoeren, maar het bestandssysteem zal het document niet identificeren als afkomstig van het internet.
Campagne statistieken
Proofpoint ziet dat het aantal e-mailaanvallen waarbij documenten met macro's als bijlage worden gebruikt, significant is gedaald. Tussen oktober 2021 en juni 2022 daalde dit zelfs met meer dan twee derde. In ditzelfde tijdsbestek is het aantal campagnes dat gebruikmaakt van containerbestanden, waaronder ISO- en RAR-bestanden, en Windows Shortcut (LNK)-bijlagen met bijna 175% toegenomen.
Aantal e-mailaanvallen met containerformats versus macro's
Deze toename is deels toe te schrijven aan het toegenomen gebruik van ISO- en LNK-bestanden in campagnes. Cybercriminelen gebruiken deze bestanden steeds vaker als mechanisme voor de eerste toegang, bijvoorbeeld bij de verspreiding van Bumblebee. Het gebruik van ISO-bestanden is tussen oktober 2021 en juni 2022 met meer dan 150% toegenomen. Meer dan de helft van de 15 getraceerde cybercriminele groepen die in deze periode ISO-bestanden gebruikten, begon deze na januari 2022 in campagnes te gebruiken.
Conclusie
Cybercriminelen stappen af van documenten met macro's en kiezen steeds vaker voor andere bestandstypen om toegang te krijgen tot een organisatie. Deze verschuiving heeft te maken met het gebruik van ISO- en andere containerformats, evenals LNK-bestanden. Dergelijke bestandstypen kunnen de bescherming tegen macro's van Microsoft omzeilen, maar ook de distributie van uitvoerbare bestanden makkelijker maken. Dit kan vervolgens leiden tot nieuwe malware, dataverkenning, diefstal van data en ransomware.
Onderzoekers van Proofpoint achten de kans groot dat dit een van de grootste verschuivingen in het dreigingslandschap voor e-mailaanvallen is in de recente geschiedenis. Het is waarschijnlijk dat bedreigingsactoren containerformats blijven gebruiken om malware te verspreiden, en dat ze minder vertrouwen op bijlagen met macro's. De volledige analyse van het onderzoek kunt u hier onder bekijken of downloaden.
Advies om je bedrijf tegen de huidige en toekomstige bedreigingen te beschermen
- Beheers de basisprincipes om de kansen van cybercriminelen te verkleinen: zoals multifactorauthenticatie en patchbeheer en geef prioriteit aan zelfherstellende hardware om de veerkracht te vergroten.
- Bereid je voor op het ergste; beperk het risico van uw mensen en partners door processen in te stellen om de beveiliging van leveranciers te controleren en het personeel te onderwijzen over social engineering. Oefen met reacties op aanvallen, om problemen te kunnen identificeren, verbeteringen aan te brengen en beter voorbereid te zijn.
- Cybercriminaliteit is een teamsport en cyberbeveiliging moet dat ook zijn: praat met collega's om informatie over bedreigingen te delen en wees proactief door open discussies op ondergrondse forums te volgen. Werk samen met beveiligingsdiensten van derden om zwakke plekken en kritieke risico's aan het licht te brengen.
- Ga je online pas de ABC methode toe
- A = alert blijven
- B = bescherm jezelf
- C = check altijd
Bron: andere, proofpoint.com
Meer rapporten? Kijk dan hier »
Meer actueel nieuws
NB409: Ransomware recordjaar en jouw beheertools zijn het doelwit
Deze week bracht het dreigingslandschap alles in een stroomversnelling. Onderzoekers ontdekten phishing die onzichtbaar is voor beveiligingstools via misbruik van internetinfrastructuur, terwijl Huntress een stijging van 277 procent rapporteerde in het misbruik van beheertools als ScreenConnect en AnyDesk. NCC Group telde bijna achtduizend ransomware incidenten in 2025 en ShinyHunters dreigt nu 400 organisaties via misconfiguraties in Salesforce, waaronder Odido. Drie gelijktijdige aanvallen op de toeleveringsketen troffen ontwikkelaarsplatforms en de Iraanse groep Handala wiste data van meer dan 200.000 systemen bij medisch technologiebedrijf Stryker. Microsoft repareerde 83 kwetsbaarheden, waarvan een aanval via het Preview Pane zonder enige klik. Tot slot startte de politie "Game Over?!" en toont camerabeelden van 100 verdachten van bankhelpdeskfraude. Lees alle details in de vier artikelen van deze week.
Supply chain onder vuur, wipers treffen multinationals
Drie onafhankelijke supply chain campagnes treffen gelijktijdig ontwikkelaarsplatforms, een Iraanse hacktivistengroep wipt medisch technologiebedrijf Stryker uit 79 landen en Microsoft brengt de grootste Patch Tuesday van het jaar uit met 83 kwetsbaarheden. Het journaal bestrijkt het nieuws van 11 en 12 maart 2026.
Game Over: politie toont 100 fraudeverdachten
De Nederlandse politie is op 9 maart 2026 een grootschalig opsporingsoffensief gestart tegen oplichters die zich voordoen als bankmedewerkers, politieagenten of andere hulpverleners. Onder de naam "Game Over?!" worden camerabeelden van 100 verdachten getoond op digitale schermen in heel Nederland, op televisie, via online advertenties en op politie.nl/gameover.
Ransomware op recordhoogte en Nederland in het vizier
Aanvallen met ransomware bereikten in 2025 wereldwijd een recordhoogte met bijna achtduizend incidenten en een stijging van vijftig procent ten opzichte van 2024. Tegelijkertijd dreigt de groep ShinyHunters honderden organisaties, waaronder Nederlandse telecomproviders, via misconfiguraties in Salesforce. En AI wordt steeds vaker ingezet als aanvalsmiddel, van autonome oplichtsystemen tot deepfake videogesprekken met leidinggevenden. Het journaal bestrijkt het nieuws van 10 maart 2026.
Phishing wordt onzichtbaar, beheertools worden wapens
Onderzoekers ontdekken een phishingtechniek die de fundamenten van het internet misbruikt om ondetecteerbaar te worden, Huntress rapporteert een stijging van 277 procent in het misbruik van beheertools door aanvallers en drie grote datalekken raken miljoenen mensen. Dit journaal bestrijkt het nieuws van 6, 7 en 8 maart 2026.
NB408: Jouw Odido gegevens zijn nu een wapen
Deze week bereikte het Odido datalek zijn definitieve omvang van 6,1 miljoen getroffen klanten, inclusief paspoortnummers en BSN nummers van zzp'ers. We leggen uit hoe criminelen deze gegevens combineren met eerdere datalekken tot complete digitale profielen die op het darkweb worden verhandeld. Een autonome AI bot voerde een weekenlange aanval uit op Microsoft en DataDog via GitHub, terwijl de politie "Check je hack" lanceerde zodat miljoenen gedupeerden hun gegevens kunnen controleren. Uit onderzoek van Follow the Money bleek dat ook medewerkers van ProRail, TenneT, ASML en de politie zijn getroffen. Tot slot zoekt de politie een vrouw na bankhelpdeskfraude bij een 70-jarige man in Breda. Lees alle details in de vijf artikelen van deze week.