Microsoft blockiert endlich Makros, aber Kriminelle entdecken neue Angriffsvektoren

Cyberkriminelle nutzen seit langem einen Angriffsvektor, der die Makrofunktionalität von Microsoft Office darstellt. Mit dem Ziel, Benutzern zu helfen, Prozesse mit Excel oder Word zu automatisieren, wurden Makros zunächst von Microsoft eingeführt. Aber diese Handlichkeit kam nicht ohne Strafe, die nicht einmal von den Hackern beansprucht wurde.

Die verwendeten Makros funktionierten so, dass benutzerdefinierte Skripte im Hintergrund ausgeführt werden konnten. Wenn Makros auf dem kompromittierten System aktiviert wären, könnten Bedrohungsakteure daher böswillige Skripte ausführen, um Malware zu übertragen.

Um die Zielpersonen dazu zu bringen, Makros zum Ausführen hasserfüllter Skripte zu aktivieren, könnten die Hacker verschiedene Social-Engineering-Techniken einsetzen. Es gibt zahlreiche Malware-Familien, mehrere bekannte Familien, darunter Emotet, TrickBot, Qakbot und Dridex, die diesen Angriffsvektor ausgenutzt haben.

Im Februar 2022 kündigte Microosft an, dass Makros standardmäßig blockiert würden und dies im April 2022 angewendet würde. Microsoft stellte ferner fest, dass

“Wir werden unsere Benutzererfahrung für Makros weiter anpassen, wie wir es hier getan haben, um es schwieriger zu machen, Benutzer dazu zu verleiten, bösartigen Code über Social Engineering auszuführen, und gleichzeitig einen Pfad für legitime Makros aufrechtzuerhalten, die gegebenenfalls über vertrauenswürdige Herausgeber und aktiviert werden können /oder vertrauenswürdige Speicherorte“,

Die Frist im April zur Durchsetzung dieser Änderungen wurde von Microsoft verpasst, aber am 21. Juli 2022 wurden die Änderungen angewendet.

Microsoft hat die Änderungen früher durchgesetzt, aber nachdem es erhebliches negatives Feedback der Benutzer erhalten hatte, hob es die Blockierung von Makros auf, die erst gegen Ende Juli 2022 angewendet wurde.

Unmittelbar nach der Ankündigung von Microsoft wurde von den Sicherheitsforschern ein Rückgang der Makroausnutzung und Hacker, die mit anderen Angriffsvektoren experimentieren, festgestellt.

Das Zurückziehen von Makros

Proofpoint berichtete, dass böswillige Kampagnen von Oktober 2021 bis Juni 2022 ausgelöst wurden, und seit Makros als Angriffsvektor verwendet wurden, wurde ein Rückgang von 66 % festgestellt.

Im gleichen Zeitraum ist die Verwendung von Containerdateien wie ISOs, ZIPs und RARs stetig gewachsen, und zwar um fast 175 %.

Beachten Sie, dass, als Microsoft im Februar ankündigte, Makros zu blockieren, die Verwendung von böswilligen LNK-Dateien abgeschaltet wurde. Im Vergleich zum Oktober 2021 stieg die Ausbeutung von LNK-Dateien um enorme 1.675 %.

Es wurde davon ausgegangen, dass zehn einzelne Hackergruppen, die von Proofpont verfolgt wurden, es ausgenutzt haben. Abgesehen von Proofpoint, das einen zunehmenden Trend feststellte, veröffentlichte McAfee auch einen Blog-Artikel, der die Zunahme des Missbrauchs von LNK-Dateien angibt.

Als Windows-Verknüpfung fungiert eine LNK-Datei als Zeiger zum Öffnen einer Datei, eines Ordners oder einer Anwendung. McAfee-Forscher lieferten eine umfassendere Definition, in der sie erklärten:

“LNK-Dateien basieren auf dem Shell Link-Binärdateiformat, das Informationen enthält, die für den Zugriff auf ein anderes Datenobjekt verwendet werden. Diese Dateien können manuell mit der Standardoption zum Erstellen einer Verknüpfung mit der rechten Maustaste erstellt werden, oder sie werden manchmal automatisch erstellt, während eine Anwendung ausgeführt wird. Es gibt auch viele Tools zum Erstellen von LNK-Dateien, außerdem haben viele Leute “lnkbombs“-Tools speziell für böswillige Zwecke erstellt.“

Es wurde auch erwähnt, dass Cyberkriminelle, die QakBot, Emotet und BazarLoader verbreiten, beobachtet wurden, wie sie LNK-Dateien verwenden, um ihre Malware-Payloads zu verbreiten. Um LNK-Dateien an die Opfer zu liefern, wurden böswillige Personen dabei beobachtet, wie sie E-Mail-Spam und böswillige URLs verwendeten.

Diese Dateien neigen dazu, echten Anwendungen wie CMD, PowerShell und MSHTA zu befehlen, bösartige Dateien herunterzuladen.

Zum Beispiel verwendet Emotet eine LNK-Datei, um ein VBS-Skript über den Windows-Befehlsprozessor auszuführen, danach würde dies verwendet werden, um die Hauptnutzlast von Emotet zu erhalten.

McAffee beendete die Angriffsketten für zwei weitere Familien mit einem Bot, der in der Ausführung Emotet gleicht. McAfee-Forscher kamen zu dem Schluss,

“Wie wir in den drei oben genannten Bedrohungskampagnen gesehen haben, wird davon ausgegangen, dass Angreifer die Windows-Verknüpfungs-LNK-Dateien missbrauchen und sie für die normalen Benutzer extrem gefährlich machen. LNK in Kombination mit PowerShell, CMD, MSHTA usw. kann dem Computer des Opfers schweren Schaden zufügen. Bösartige LNKs verwenden im Allgemeinen PowerShell und CMD, mit denen sie sich mit bösartigen URLs verbinden können, um bösartige Payloads herunterzuladen. Diese Arten von Angriffen entwickeln sich immer noch weiter, sodass jeder Benutzer bei der Verwendung von LNK-Verknüpfungsdateien eine gründliche Prüfung durchführen muss. Verbraucher müssen ihr Betriebssystem und ihren Virenschutz auf dem neuesten Stand halten. Sie sollten sich vor Phishing-Mails und dem Klicken auf schädliche Links und Anhänge hüten.“

Die Verwendung von LNK-Dateien und anderen Dateitypen wie ISO, ZIP und RAR stellt eine bemerkenswerte Bedrohung für Benutzer dar, aber es gibt einen Silberstreif am Horizont, diese Methoden anzunehmen.

Da die LNK-Datei aus einem Archiv entpackt und dann geöffnet werden muss, ist es viel schwieriger, einen Empfänger einer Spam-E-Mail davon zu überzeugen, eine LNK-Datei zu öffnen, als bei Word- und Excel-Dateien.

Dieser zusätzliche Schritt wird sicherlich Zweifel aufkommen lassen, und Unternehmen können Mitarbeiter leicht davon abhalten, diese Dateien im Vergleich zu häufig verwendeten Dateitypen wie Microsoft Office-Dateien zu öffnen.