Поделиться
Из-за безграмотных пользователей хакеры лишились идеального способа взлома ПК через Word и Excel. И тут же нашли новые
Киберпреступники потеряли интерес к макросам как к средству доставки вредоносного ПО на компьютеры жертв после того, как Microsoft отключила их автоматическую загрузку в Word, Excel и PowerPoint. Вместо них они теперь используют архивы RAR и ZIP, а также совсем неочевидное решение – файлы ярлыков Windows. Они пока не вызывают подозрения у пользователей и антивирусов, но свое черное дело выполняют не хуже макросов.
Пора двигаться вперед
Хакеры всего мира начали отказываться от использования макросов в Word, Excel, PowerPoint и других офисных документах для взлома пользовательских ПК, пишет Bleeping Computer. Популярность этого метода, существующего десятилетиями и раз за разом демонстрирующего свою эффективность, неуклонно падает.
Связано это с решением Microsoft заблокировать автоматическую загрузку макросов в своих программах офисного пакета Office – самого популярного во всем мире в своем сегменте. Она объявила об этом в феврале 2022 г. и выпустила соответствующее обновление в апреле 2022 г., хотя и только для бета-тестеров – обычные пользователи получили его лишь в июне 2022 г.
Несмотря на это, популярность метода распространения вредоносного ПО через макросы в документах Word и Excel стала резко падать именно с апреля 2022 г. На это никак не повлиял тот факт, что в начале июля 2022 г. Microsoft убрала автоматическую блокировку макросов по просьбе неопытных пользователей, не сумевших отключить ее своими силами. К тому же, через три недели запрет на запуск этих скриптов вновь вернулся в офисное ПО Microsoft.
Замена найдена
Запрет автоматического запуска макросов в офисном ПО Microsoft не означает, что все киберпреступники мира вдруг одновременно решили перестать рассылать вредоносное ПО. Наоборот, в ответ на «санкции» Microsoft они проявили всю свою изобретательность и нашли сразу несколько альтернатив офисным документам.
Теперь хакеры стали чаще отдавать предпочтение файлам-контейнерам, в частности, архивам RAR или образам дисков ISO. Другими словами, если на почте окажется письмо от неизвестного отправителя, содержащее один из таких файлов, велика вероятность, что письмо это «с сюрпризом» внутри.
Альтернатива макросам с пока незапятнанной репутацией
Если RAR-архив или ISO-образ на несколько килобайт может вызвать подозрение у пользователя или антивирусной системы на его ПК, то есть формат, который едва ли привлечет к себе нежелательное (для хакеров) внимание. Это формат LNK – такое расширение имеют все ярлыки в ОС Windows.
Все ярлыки имеют небольшой «вес», и это учитывают хакеры. Опытные киберпреступники не пытаются замаскировать под ярлык исполняемый файл – вместо этого они прописывают в нем команду на запуск скачивания вредоносного ПО через штатные инструменты операционной системы Microsoft, например, через PowerShell.
Данный метод применяется для распространения вредоноса Emonet. Еще совсем недавно для этих целей хакеры задействовали те самые документы Office с вшитыми в них макросами.
Популярность – дело наживное
В период с октября 2021 г. по июнь 2022 г. популярность макросов как инструмента доставки малварей упала на 66% (данные исследователей ProofPoint). За то же время востребованность контейнерных файлов, будь то RAR, ISO или ZIP, подскочила на 175%.
С одной стороны, 175% - это очень достойный показатель. С другой, в сравнении с ростом популярности LNK-файлов это совсем мало – с октября 2021 г. она выросла на 1675%.
Файлы ярлыков и стали предпочтительным оружием десяти отдельных хакерских групп, отслеживаемых специалистами ProofPoint. Не исключено, что в ближайшем будущем, по мере отказа от макросов, интерес к ярлыкам с «начинкой» среди киберпреступников будет лишь расти.
У всего есть свои минусы
Как пишет Bleeping Computer, метод с макросами имеет одно неоспоримое преимущество перед другими способами дистрибуции вредоносного ПО. Даже самый недоверчивый и опытный пользователь с большей вероятностью откроет на своем ПК документ Microsoft Office в сравнении с архивами, ярлыками и файлами образов.
Но если к LNK-файлам многие пользователи просто будут относиться с подозрением и побоятся запускать их, то на архивы может среагировать (и, вероятнее всего, среагирует) антивирусная защита на почтовом сервере при автоматической проверке вложений. Чтобы не допустить этого, хакеры ставят на архивы пароль, о котором сообщают пользователю в письме. Таким образом, потенциальной жертве, чтобы попасться на крючок, нужно сперва ввести пароль, чтобы добраться до архива и его содержимого. Это существенно снижает вероятность успеха хакерской операции.
Поделиться
Короткая ссылка
