In risposta all’annuncio di Microsoft di bloccare le macro XL4 e VBA di default nelle applicazioni di Microsoft Office, Proofpoint mette in evidenza come gli attori delle minacce hanno iniziato a adottare nuove tecniche d’azione.
Se Microsoft ha recentemente annunciato che bloccherà l’esecuzione delle macro VBA e XL4 presenti nei documenti Office scaricati da Internet per garantire una maggiore sicurezza, la risposta dei cybercriminali non si è fatta attendere.
Gli attori delle minacce hanno reagito abbandonando le minacce basate su macro e adottando nuove tattiche, tecniche e procedure (TTP).
Sulla base delle analisi delle minacce delle campagne di Proofpoint, che comprendono sia quelle analizzate manualmente che quelle contestualizzate dai ricercatori, da ottobre 2021 a giugno 2022, l’utilizzo di documenti macro allegati ai messaggi per diffondere il malware si è ridotto di circa il 66%, con un aumento dell’utilizzo di file container, come allegati ISO e RAR e file di collegamento a Windows (LNK).
Sherrod DeGrippo, Vice President, Threat Research and Detection di Proofpoint, ha sottolineato: “L’abbandono da parte degli attori delle minacce della distribuzione diretta di allegati basati su macro nelle email rappresenta un cambiamento significativo nel panorama delle minacce.
Stanno adottando nuove tattiche per distribuire malware e si prevede che l’aumento dell’uso di file come ISO, LNK e RAR continuerà“.
Le macro VBA – spiega Proofpoint – sono utilizzate dagli attori delle minacce per eseguire automaticamente contenuti dannosi quando l’utente ha abilitato attivamente le macro nelle applicazioni di Office. Le macro XL4 sono specifiche dell’applicazione Excel, ma possono essere utilizzate da parte dei cybercriminali come vettori di malware.
Solitamente, gli attori delle minacce che distribuiscono documenti abilitati alle macro si affidano al social engineering per convincere il destinatario che il contenuto è importante e che per visualizzarlo sia necessario abilitare le macro.
L’analisi completa è disponibile online per la consultazione sul sito di Proofpoint.
