Microsoft заблокировала вредоносные макросы, но хакеры нашли другой способ

Microsoft заблокировала вредоносные макросы, но хакеры нашли другой способ

29 июля 2022 г.

Теперь эти макросы в загруженных файлах Microsoft Office официально мертвы, появление у хакеров новой схемы было лишь вопросом времени.

По данным специалистов по кибербезопасности Proofpoint, они обнаружили не одну, не две, а целых три новые способы заставить жертв загружать вредоносное ПО.

В последнем отчете компании говорится, что вместо загруженных макросами файлов Office, количество которых в настоящее время значительно сокращается, мошенники выбирают файлы-контейнеры, ярлыки и файлы HTML.

Ярлыки всплеска

С октября 2021 г. по сегодняшний день количество файлов Office с макросами, используемых для распространения вредоносного ПО, сократилось на целых две трети (66%). С другой стороны, использование файлов-контейнеров (файлы ISO, ZIP, RAR и т. д.) выросло примерно на 175%. Файлы-контейнеры — отличный способ избежать антивирусных решений, а если к ним еще и пароль, их воспринимаемая легитимность возрастает. это намного больше.

Что касается файлов ярлыков (.LNK), их использование резко возросло в феврале 2022 года, увеличившись на 1675% по сравнению с октябрем прошлого года. Proofpoint сообщает, что десять отдельных злоумышленников теперь отдают предпочтение файлам-ярлыкам для распространения вредоносного ПО, в том числе некоторые из таких мощных инструментов, как Emotet, Qbot или IcedID.

Значки файлов ярлыков можно изменить на практически что угодно, помогая мошенникам маскировать эти файлы под PDF-файлы или документы Word.

Они также весьма эффективны, так как могут выполнять практически любую команду, на которую у жертвы есть разрешение, включая выполнение сценариев PowerShell, которые в данном конкретном случае используются злоумышленниками, чтобы заставить людей загружать вредоносное ПО из Интернета.

Proofpoint также сообщает о заметном росте использования HTML-вложений, поскольку эти типы файлов также могут использоваться для размещения вредоносного ПО на цели конечные точки, избегая систем безопасности электронной почты. Тем не менее, вложения HTML имеют относительно небольшой объем, особенно по сравнению с файлами-контейнерами и ярлыками. Изменится ли это в будущем, еще неизвестно.

.

Через: BleepingComputer


Оригинал