Kötü amaçlı makroları olan kimlik avı ekleri aracılığıyla normalde kötü amaçlı yazılım dağıtan bilgisayar korsanları, Microsoft Office bunları varsayılan olarak engellemeye başladıktan sonra yavaş yavaş taktik değiştirdi ve ISO, RAR ve Windows Kısayol (LNK) ekleri gibi yeni dosya türlerine geçti.
VBA ve XL4 Makroları, kimlik avı e-postalarıyla gönderilen kötü amaçlı Microsoft Office belge ekleri aracılığıyla kötü amaçlı yazılım yüklemek, bırakmak veya yüklemek için kötü amaçlı yazılımları kötüye kullanmakla tehdit eden, Microsoft Office uygulamalarındaki tekrarlayan görevleri otomatikleştirmek için oluşturulmuş küçük programlardır.
Geçişin nedeni, Microsoft’un varsayılan olarak makroları otomatik olarak engelleyerek ve etkinleştirmeyi zorlaştırarak Office alt sisteminin büyük ölçüde kötüye kullanımına son vereceklerini duyurmasıdır.
Microsoft’un bu Microsoft Office değişikliğini uygulaması biraz daha uzun sürse de, engelleme nihayet geçen hafta yürürlüğe girdi.
Bununla birlikte, ilk duyuru tek başına kötü amaçlı yazılım operatörlerini makrolardan uzaklaşmaya ve kurbanlara bulaşmak için alternatif yöntemler denemeye başlamaya ikna etti.
Bilgisayar korsanları makroları terk ediyor
Proofpoint tarafından hazırlanan yeni bir raporda, araştırmacılar Ekim 2021 ile Haziran 2022 arasındaki kötü amaçlı kampanya istatistiklerine baktılar ve diğer yük dağıtım yöntemlerine net bir geçiş olduğunu belirlediler ve makro kullanımında %66’lık bir düşüş kaydettiler.
Aynı zamanda, ISO’lar, ZIP’ler ve RAR’lar gibi kapsayıcı dosyalarının kullanımı, neredeyse %175 oranında artarak istikrarlı bir şekilde arttı.
LNK dosyalarının kullanımı, Microsoft’un duyurusunu yaptığı Şubat 2022’den sonra patladı, Ekim 2021’e kıyasla %1,675 gibi büyük bir artış gösterdi ve Proofpoint tarafından izlenen on ayrı tehdit grubunun tercih ettiği silah oldu.
LNK dosyalarının Emotet, Qbot ve IcedID tarafından, her durumda, alıcıyı açması için kandırmak için bir Word belgesi gibi görünerek kullanıldığını bildirdik.
Ancak, bu bağlantı dosyaları, uzak kaynaklardan kötü amaçlı yazılım indiren ve yürüten PowerShell komut dosyalarının yürütülmesi de dahil olmak üzere, kullanıcının kullanma iznine sahip olduğu hemen hemen her komutu yürütmek için kullanılabilir.
Son olarak, Proofpoint, ana bilgisayar sistemine kötü amaçlı bir dosya bırakmak için HTML kaçakçılığı tekniğini benimseyen HTML eklerinin kullanımında da önemli bir artış gözlemledi. Ancak dağıtım hacimleri küçük kalmaya devam ediyor.
Tehdidi kaydırmak
Makroların eskimiş bir yük dağıtımı yöntemi ve ilk enfeksiyon haline geldiğini görmek olumlu bir gelişme olsa da, tehdit ele alınmak veya azaltılmak yerine yalnızca değişti.
Alıcıları .docx ve .xls dosyalarını açmaya ikna etmek, onlardan arşivleri açmalarını ve adları .lnk ile biten dosyaları açmalarını istemekten çok daha kolay olduğundan, şimdi yanıtlanması gereken soru, bu değişikliğin kötü amaçlı yazılım kampanyalarının etkinliğini nasıl etkilediğidir.
Ayrıca, güvenlik yazılımı tarafından algılamayı atlamak için, birçok kimlik avı kampanyası artık arşiv eklerini parolayla koruyor ve kötü amaçlı dosyalara erişmek için bir hedefin atması gereken başka bir külfetli adımı ekliyor.
Bu açıdan bakıldığında, kimlik avı e-postalarına güvenen tehdit aktörlerinin iyi seçenekleri tükeniyor olabilir ve sonuç olarak bulaşma oranları düşmüş olabilir.
Son olarak, e-posta güvenlik çözümleri artık değerlendirmek için daha dar bir potansiyel risk yelpazesine sahip olup, riskli bir dosyayı yakalama şanslarını artırmaktadır.