Microsoft Office, programlarının çoğunda kötü amaçlı makroları varsayılan olarak engellemeye başladığından, bilgisayar korsanları daha önce kötü amaçlı makroları olan kimlik avı ekleri aracılığıyla kötü amaçlı yazılım dağıttıktan sonra taktiklerini değiştirmeye başladı.
Proofpoint’teki siber güvenlik uzmanları, bilgisayar korsanlarının aşağıdaki gibi yeni dosya türlerini kullanmasının artık daha yaygın hale geldiğini iddia etti: –
- ISO
- RAR
- Windows Kısayol (LNK) ekleri
Yinelenen görevleri otomatikleştiren Microsoft Office programlarında oluşturulabilecek çeşitli makro türleri vardır. Bunlara VBA makroları ve XL4 makroları dahildir. Tehdit aktörleri bunları aşağıdakiler de dahil olmak üzere çeşitli şekillerde kullanırken:-
- Kötü amaçlı yazılım yükleme
- Kötü amaçlı yazılım bırakma
- Kötü amaçlı yazılım yükleme
Bunun nedeni, Microsoft’un, Microsoft’un yaşadığı alt sistemin kötüye kullanımını sona erdirmek için Office alt sistemlerinde makroları varsayılan olarak engelleyeceklerini duyurmasıdır.
Bu şekilde, bilgisayar korsanları onları etkinleştirmekte zorlanacaklar, böylece kullanıcılar daha güvende olacak.
Yeni Taktiklere Geçiş
Geçen yılın aynı dönemine kıyasla, makrolar %66 daha az kullanıldı, bu da yükleri dağıtma aracı olarak makrolardan uzaklaşıldığının açık bir işareti.
Son birkaç yılda istikrarlı bir şekilde büyüyen konteyner dosyalarının kullanımında da yaklaşık %175’lik bir artış var. LNK dosyalarının kullanımı Şubat 2022’den bu yana en az 10 farklı tehdit aktörü tarafından rapor edilmiştir ki bu oldukça fazla bir sayıdır.
Ekim 2021’den bu yana LNK dosyalarının bulunduğu kampanya sayısında %1,675’lik bir artış oldu. Bu yeni yöntemler, aşağıdakiler de dahil olmak üzere birkaç önemli kötü amaçlı yazılım ailesinin dağıtımına yol açmıştır:-
Bunun dışında, Proofpoint analistleri bu olayları izlediler ve HTML eklerinin ana sisteme kötü amaçlı dosyaları bırakmak için kullanımının geçen yıl önemli ölçüde arttığını keşfettiler.
Buna rağmen, artan popülerliklerine rağmen küçük dağıtım hacimlerine sahip olmaya devam ediyorlar. Tehdit aktörlerinin, dosyalara başlangıçta makro özellikli belgeler yerine erişim elde etmek için çeşitli dosya türleri kullanması artık daha yaygın hale geliyor.
Bu değişiklik nedeniyle LNK dosyaları ve ISO biçimleri benimsenmiştir. Microsoft’un makro engelleme koruması, bu tür dosya türleri kullanılarak atlanabilir ve yürütülebilir dosyaların dağıtımı basitleştirilebilir.
Bizi Linkedin’den takip edebilirsiniz, heyecanGünlük Siber Güvenlik güncellemeleri için Facebook.