Con Microsoft tomando medidas para bloquear las macros de Excel 4.0 (XLM o XL4) y Visual Basic para aplicaciones (VBA) de forma predeterminada en las aplicaciones de Office, los actores maliciosos están respondiendo refinando sus nuevas tácticas, técnicas y procedimientos (TTP).
«El uso de macros VBA y XL4 disminuyó aproximadamente un 66 % desde octubre de 2021 hasta junio de 2022», Proofpoint dijo en un informe compartido con The Hacker News.
En su lugar, los adversarios se están alejando cada vez más de los documentos habilitados para macros a otras alternativas, incluidos archivos contenedores como ISO y RAR, así como archivos de acceso directo de Windows (LNK) en campañas para distribuir malware.
Las macros de VBA incrustadas en documentos de Office enviados a través de correos electrónicos de phishing han demostrado ser una técnica eficaz que permite a los actores de amenazas ejecutar automáticamente contenido malicioso después de engañar a un destinatario para que habilite macros a través de tácticas de ingeniería social.
Sin embargo, los planes de Microsoft para bloquear macros en archivos descargados de Internet han llevado a campañas de malware basadas en correo electrónico a experimentar con otras formas de eludir Mark of the Web (MOTO) protecciones e infectar a las víctimas.
Esto implica el uso de archivos adjuntos ISO, RAR y LNK, que aumentaron casi un 175 % durante el mismo período. Se dice que al menos 10 actores de amenazas comenzaron a usar archivos LNK desde febrero de 2022.
«La cantidad de campañas que contienen archivos LNK aumentó un 1675 % desde octubre de 2021», señaló la empresa de seguridad empresarial, y agregó que la cantidad de ataques que utilizan archivos adjuntos HTML se duplicó con creces desde octubre de 2021 hasta junio de 2022.
Algunas de las familias de malware notables distribuidas a través de estos nuevos métodos son Emotet, IcedID, Qakbot y Bumblebee.
«Los actores de amenazas que se alejan de la distribución directa de archivos adjuntos basados en macros en el correo electrónico representan un cambio significativo en el panorama de amenazas», dijo Sherrod DeGrippo, vicepresidente de investigación y detección de amenazas en Proofpoint, en un comunicado.
«Los actores de amenazas ahora están adoptando nuevas tácticas para entregar malware, y se espera que continúe el uso creciente de archivos como ISO, LNK y RAR».