in Microsoft

Cómo se están adaptando los atacantes a un mundo post-macro

Sistema pirateado, mensaje de alerta de advertencia en la pantalla de ataque de piratería, vector. Virus spyware o malware detectado ventana de mensaje rojo de advertencia en la pantalla de la computadora, seguridad cibernética de Internet y fraude de datos

Desde que Microsoft cerró las macros en las aplicaciones de Office, los atacantes están utilizando tipos de archivos contenedores para entregar malware en uno de los mayores cambios en el panorama de amenazas de la historia reciente.

Sistema pirateado, mensaje de alerta de advertencia en la pantalla de ataque de piratería, vector. Virus spyware o malware detectado ventana de mensaje rojo de advertencia en la pantalla de la computadora, seguridad cibernética de Internet y fraude de datos
Imagen: Adobe Stock

Después de que Microsoft anunciara que comenzaría a bloquear las macros VBA y XL4 de forma predeterminada para Oficina de Windows aplicaciones a fines del año pasado, los atacantes comenzaron a usar archivos contenedores como archivos adjuntos ISO y RAR y archivos de acceso directo de Windows (LNK) para entregar cargas en su lugar.

“Estamos viendo cambios en los comportamientos en todo el panorama de amenazas y, como mencionan nuestros investigadores en el informe, evalúan con gran confianza que este es uno de los mayores cambios en el panorama de amenazas por correo electrónico en la historia reciente”, dijo Sherrod DeGrippo, vicepresidente de Threat Research. y Detección en Proofpoint. “Los actores de amenazas prestan atención a lo que funciona y lo que no, buscan continuamente formas de ser más efectivos con sus ataques”.

Según el proveedor de seguridad Proofpoint, entre octubre de 2021 y junio de 2022, el uso de macros para entregar cargas útiles de malware disminuyó en un 66 %.

Los actores de amenazas utilizan las macros de VBA para ejecutar automáticamente contenido malicioso cuando un usuario ha habilitado macros de forma activa en las aplicaciones de Office. Las macros XL4 son específicas de la aplicación Excel, pero también pueden ser armadas por actores de amenazas, dijo Proofpoint. Los actores de amenazas utilizan tácticas de ingeniería social para que los usuarios habiliten las macros, que son necesarias para ver el contenido del archivo.

VER: Política de seguridad de dispositivos móviles (Premium de TechRepublic)

“Los malos actores envían macros en los archivos de Office a los usuarios finales que, sin saberlo, los habilitan, se entregan cargas maliciosas y el impacto puede ser grave, incluido el malware, la identidad comprometida, la pérdida de datos y el acceso remoto”, dijo Microsoft en un comunicado. publicación de blog que aborda el problema.

Pasando por alto la marca de la web

Microsoft bloquea las macros de VBA en función de un atributo Mark of the Web (MOTW) conocido como identificador de zona que muestra si un archivo proviene de Internet, una fuente restringida y, por lo tanto, si se puede confiar en él. El problema es que se puede omitir MOTW mediante el uso de formatos de archivo contenedor como ISO (.iso), RAR (.rar), ZIP (.zip) e IMG (.img) para enviar documentos habilitados para macros.

“Cuando se descarguen, los archivos ISO, RAR, etc. tendrán el atributo MOTW porque se descargaron de Internet, pero el documento interno, como una hoja de cálculo habilitada para macros, no lo tendrá”, dijo Proofpoint en un comunicado de prensa. “Cuando se extrae el documento, el usuario aún tendrá que habilitar las macros para que el código malicioso se ejecute automáticamente, pero el sistema de archivos no identificará el documento como proveniente de la web”.

Los atacantes también pueden usar archivos contenedores para distribuir cargas útiles directamente, dijo Proofpoint. Los archivos contenedores pueden ocultar LNK, DLL o archivos ejecutables (.exe) que conducen a la instalación de una carga útil maliciosa cuando se abren. Los archivos Container XLL, un tipo de archivo de biblioteca de vínculos dinámicos (DLL) para Excel, también experimentaron un ligero aumento en el uso después de que Microsoft anunciara que deshabilitaría las macros XL4 en 2021.

VER: Violación de contraseña: por qué la cultura pop y las contraseñas no se mezclan (PDF gratuito) (República Tecnológica)

Proofpoint también ha informado de un pequeño aumento en el uso de archivos adjuntos HTML para enviar malware. La cantidad de campañas de malware que utilizan archivos adjuntos HTML se duplicó con creces desde octubre de 2021 hasta junio de 2022, pero la cantidad general sigue siendo baja.

“Aunque los tipos de archivos han cambiado, los actores de amenazas siguen utilizando la misma amplia gama de tácticas de ingeniería social para que las personas abran y hagan clic”, dijo DeGrippo. “La mejor defensa es un enfoque de múltiples capas donde las personas están en el centro de su estrategia de seguridad”.

Fuente

aplicacionesDJlosmacmicrosoftnadaofficeparapublicaciónseguridadsusTechUnausuarios

Written by TecTop

AOLers de mala suerte: Apple ya no lo ayudará a configurar su módem de acceso telefónico

AOLers de mala suerte: Apple ya no lo ayudará a configurar su módem de acceso telefónico
El centro de eventos principal, con ubicaciones de mapas, desafíos y premios.

Guía de eventos de Apex Legends Mobile Conqueror Of Kings