Bloqueio de macros da Microsoft faz cibecriminosos mudarem campanhas de phishing

A Microsoft tem fechado o cerco contra cibercriminosos e diminuído bastante as opções dos atacantes para a distribuição de malwares. Algo que acontecia, por exemplo, era o uso de anexos de phishing com macros maliciosos. Porém, a Microsoft passou a bloqueá-los por padrão, o que obrigou os criminosos a encontrarem novas alternativas.

• Saiba quais são as marcas mais imitadas em ataques de phishing
• Saiba como golpe de phishing foi usado para enganar usuários da Uniswap

Os macros VBA e XL4 são pequenos programas com a função de automatizar tarefas repetitivas em aplicações do Microsoft Office. Cibercriminosos usam e abusam desses macros para carregar, descartar ou instalar malwares por meio de anexos de documentos maliciosos enviados em campanhas de phishing.

Espera por bloqueio é antiga

Não é de hoje que a Microsoft vem anunciando o bloqueio automático dos macros VBA e XL4 por padrão e o aumento da dificuldade para sua ativação. Depois de muito tempo ensaiando, a empresa de Redmond finalmente colocou seus planos em prática e o bloqueio entrou em vigor há cerca de duas semanas.

Porém, o anúncio oficial da companhia fez com que os operadores de malware se afastassem dos macros e começassem a experimentar métodos alternativos para infectar as vítimas. Os novos tipos de arquivo envolvem anexos ISO, RAR e Windows Shortcut (LNK), que conseguem burlar o bloqueio imposto pela Microsoft.

Criminosos estão criativos

Um relatório da empresa de tecnologia Proofpoint analisou uma série de estatísticas de campanhas maliciosas e apontou para uma mudança nos métodos de distribuição de carga por cibercriminosos. A consultoria apontou uma redução de 66% no uso de macros entre outubro de 2021 e junho de 2022.

Neste mesmo período, o uso de arquivos de contêiner como ISO, ZIP e RAR cresceu de maneira constante, com um aumento de quase 175%. Mas a explosão foi do uso de arquivos LNK, que teve um aumento de 1.675% entre outubro de 2021 e junho de 2022, com um impulso especial a partir de fevereiro deste ano.

Alguns malwares como Emotet, Qbot e IcedID têm sido espalhados por meio de arquivos LNK, na maioria das vezes, disfarçados de documentos Word para induzir a vítima a abri-los. Porém, esses arquivos podem ser usados na execução de quase qualquer comando cujo usuário tenha permissão de uso.

Em outras palavras, esses arquivos podem ser usados para a execução de scripts do PowerShell, que podem baixar e executar malwares de fontes remotas. Por último, vem o uso de anexos HTML, que adotam a técnica de contrabando de HTML para soltar um arquivo malicioso no sistema host, mas com volumes pequenos.

Um bom começo

Apesar de os macros estarem se tornando obsoletos, isso não significa que a distribuição de carga maliciosa pelos aplicativos do Office tenha deixado de ser um risco, muito pelo contrário. O bloqueio da Microsoft fez com que as balas dos cibercriminosos fossem carregadas em outras armas.

Porém, uma coisa deve ser dita, a vida dos atacantes ficou mais difícil, já que, para uma vítima, é muito mais instintivo apenas abrir um e-mail com um documento de Word do que descompactar um arquivo com um formato relativamente desconhecido, como é o caso dos Windows Shortcut. No final das contas, a Microsoft pode ter conseguido deixar a infecção mais onerosa, o que deve fazer com que as campanhas de phishing se tornem menos eficazes.

Fonte: Bleeping Computer