الوجبات الجاهزة الرئيسية
- سيؤدي قرار Microsoft بحظر وحدات الماكرو إلى سرقة الجهات المهددة لهذه الوسيلة الشائعة لتوزيع البرامج الضارة.
- ومع ذلك ، لاحظ الباحثون أن مجرمي الإنترنت قد غيّروا بالفعل عملياتهم وقللوا بشكل كبير من استخدام وحدات الماكرو في حملات البرامج الضارة الأخيرة.
- حظر وحدات الماكرو هو خطوة في الاتجاه الصحيح ، ولكن في نهاية اليوم ، يجب أن يكون الناس أكثر يقظة لتجنب الإصابة بالعدوى ، اقترح الخبراء.
بينما استغرقت Microsoft وقتها الجميل في اتخاذ قرار بحظر وحدات الماكرو افتراضيًا في Microsoft Office ، سارع ممثلو التهديد للتغلب على هذا القيد وابتكار موجهات هجوم جديدة.
وفقًا لبحث جديد أجراه بائع الأمان Proofpoint ، لم تعد وحدات الماكرو الوسيلة المفضلة لتوزيع البرامج الضارة. انخفض استخدام وحدات الماكرو الشائعة بنسبة 66٪ تقريبًا بين أكتوبر 2021 إلى يونيو 2022. من ناحية أخرى ، سجل استخدام ملفات ISO (صورة قرص) زيادة تزيد عن 150٪ ، بينما سجل استخدام LNK (اختصار ملفات Windows) زادت الملفات بنسبة مذهلة بلغت 1 ، 675 ٪ في نفس الإطار الزمني. يمكن أن تتجاوز أنواع الملفات هذه إجراءات حماية حظر الماكرو من Microsoft.
قال شيرود ديغريبو ، نائب الرئيس لأبحاث التهديدات والكشف في Proofpoint ، في بيان صحفي"تحول الجهات الفاعلة في التهديد بعيدًا عن التوزيع المباشر للمرفقات المستندة إلى الماكرو في البريد الإلكتروني إلى تحول كبير في مشهد التهديد". "يتبنى ممثلو التهديد الآن تكتيكات جديدة لتقديم برامج ضارة ، ومن المتوقع أن يستمر الاستخدام المتزايد لملفات مثل ISO و LNK و RAR."
التحرك مع الأوقات
في تبادل البريد الإلكتروني مع Lifewire ، وصف هارمان سينغ ، مدير مزود خدمة الأمن السيبراني Cyphere ، وحدات الماكرو بأنها برامج صغيرة يمكن استخدامها لأتمتة المهام في Microsoft Office ، مع كون وحدات الماكرو XL4 و VBA هي وحدات الماكرو الأكثر استخدامًا بواسطة مستخدمو المكتب.
من منظور الجرائم الإلكترونية ، قال سينغ إن الجهات الفاعلة في التهديد يمكن أن تستخدم وحدات الماكرو لبعض حملات الهجوم السيئة. على سبيل المثال ، يمكن لوحدات الماكرو تنفيذ أسطر ضارة من التعليمات البرمجية على كمبيوتر الضحية بنفس الامتيازات التي يتمتع بها الشخص الذي قام بتسجيل الدخول. يمكن لممثلي التهديد إساءة استخدام هذا الوصول لاستخراج البيانات من جهاز كمبيوتر تم اختراقه أو حتى لانتزاع محتوى ضار إضافي من خوادم البرامج الضارة لسحب المزيد من البرامج الضارة الضارة.
ومع ذلك ، سارع سينغ إلى إضافة أن Office ليس هو الطريقة الوحيدة لإصابة أنظمة الكمبيوتر ، ولكنه "أحد [الأهداف] الأكثر شيوعًا نظرًا لاستخدام مستندات Office من قِبل الجميع تقريبًا على الإنترنت."
للسيطرة على الخطر ، بدأت Microsoft في وضع علامات على بعض المستندات من مواقع غير موثوق بها ، مثل الإنترنت ، باستخدام سمة Mark of the Web (MOTW) ، وهي سلسلة من التعليمات البرمجية التي تحدد ميزات الأمان المشغلة.
في بحثهم ، تدعي Proofpoint أن الانخفاض في استخدام وحدات الماكرو هو استجابة مباشرة لقرار Microsoft لوضع علامة على سمة MOTW في الملفات.
سينغ غير متفاجئ. وأوضح أن الأرشيفات المضغوطة مثل ملفات ISO و RAR لا تعتمد على Office ويمكنها تشغيل تعليمات برمجية ضارة بمفردها. "من الواضح أن تغيير التكتيكات جزء من إستراتيجية مجرمي الإنترنت للتأكد من أنهم يبذلون جهودهم في أفضل طريقة للهجوم والتي لها أعلى احتمالية في [إصابة الأشخاص]."
تحتوي على برامج ضارة
أوضح سينغ أن تضمين البرامج الضارة في ملفات مضغوطة مثل ملفات ISO و RAR يساعد أيضًا في تجنب تقنيات الكشف التي تركز على تحليل بنية أو تنسيق الملفات. "على سبيل المثال ، تستند العديد من عمليات الكشف عن ملفات ISO و RAR إلى توقيعات الملفات ، والتي يمكن إزالتها بسهولة عن طريق ضغط ملف ISO أو RAR باستخدام طريقة ضغط أخرى."
وفقًا لـ Proofpoint ، تمامًا مثل وحدات الماكرو الضارة التي سبقتها ، فإن أكثر الوسائل شيوعًا لنقل هذه المحفوظات المحملة بالبرامج الضارة هي عبر البريد الإلكتروني.
يعتمد بحث Proofpoint على تتبع أنشطة العديد من جهات التهديد سيئة السمعة. لاحظ استخدام آليات الوصول الأولية الجديدة التي تستخدمها المجموعات التي توزع Bumblebee ، وبرامج Emotet الضارة ، وكذلك من قبل العديد من مجرمي الإنترنت الآخرين ، لجميع أنواع البرامج الضارة.
"أكثر من نصف الجهات الفاعلة في مجال التهديد المتعقبة التي استخدمت ملفات ISO [بين أكتوبر 2021 ويونيو 2022] بدأت في استخدامها في الحملات بعد يناير 2022 ،" أبرز نقطة إثبات.
من أجل تعزيز دفاعك ضد هذه التغييرات في التكتيكات من قبل الجهات الفاعلة في التهديد ، يقترح سينغ على الناس توخي الحذر من رسائل البريد الإلكتروني غير المرغوب فيها. كما أنه يحذر الأشخاص من النقر فوق الروابط وفتح المرفقات إلا إذا كانوا واثقين بما لا يدع مجالاً للشك أن هذه الملفات آمنة.
كرر سينغ"لا تثق بأي مصادر إلا إذا كنت تتوقع رسالة بها مرفق". "ثق ، لكن تحقق ، على سبيل المثال ، اتصل بجهة الاتصال قبل [فتح مرفق] لمعرفة ما إذا كانت بالفعل رسالة بريد إلكتروني مهمة من صديقك أو رسالة ضارة من حساباتهم المخترقة."