Alors que Microsoft prend des mesures pour bloquer par défaut les macros Excel 4.0 (XLM ou XL4) et Visual Basic pour Applications (VBA) dans les applications Office, les acteurs malveillants réagissent en affinant leurs nouvelles tactiques, techniques et procédures (TTP).
« L’utilisation des macros VBA et XL4 a diminué d’environ 66 % d’octobre 2021 à juin 2022 », Proofpoint a dit dans un rapport partagé avec The Hacker News.
À sa place, les adversaires s’éloignent de plus en plus des documents prenant en charge les macros vers d’autres alternatives, y compris les fichiers conteneurs tels que ISO et RAR ainsi que les fichiers Windows Shortcut (LNK) dans les campagnes de distribution de logiciels malveillants.
Les macros VBA intégrées dans les documents Office envoyés via des e-mails de phishing se sont révélées être une technique efficace en ce sens qu’elles permettent aux acteurs de la menace d’exécuter automatiquement du contenu malveillant après avoir incité un destinataire à activer les macros via des tactiques d’ingénierie sociale.
Cependant, les plans de Microsoft visant à bloquer les macros dans les fichiers téléchargés sur Internet ont conduit à des campagnes de logiciels malveillants par e-mail expérimentant d’autres moyens de contourner Mark of the Web (MOTW) protections et infecter les victimes.
Cela implique l’utilisation de pièces jointes ISO, RAR et LNK, qui ont bondi de près de 175 % au cours de la même période. Au moins 10 acteurs de la menace auraient commencé à utiliser des fichiers LNK depuis février 2022.
« Le nombre de campagnes contenant des fichiers LNK a augmenté de 1 675 % depuis octobre 2021 », a noté la société de sécurité d’entreprise, ajoutant que le nombre d’attaques utilisant des pièces jointes HTML a plus que doublé d’octobre 2021 à juin 2022.
Certaines des familles de logiciels malveillants notables distribuées via ces nouvelles méthodes comprennent Emotet, IcedID, Qakbot et Bumblebee.
« Le fait que les acteurs de la menace s’éloignent de la distribution directe de pièces jointes basées sur des macros dans les e-mails représente un changement significatif dans le paysage des menaces », a déclaré Sherrod DeGrippo, vice-président de la recherche et de la détection des menaces chez Proofpoint, dans un communiqué.
« Les acteurs de la menace adoptent désormais de nouvelles tactiques pour diffuser des logiciels malveillants, et l’utilisation accrue de fichiers tels que ISO, LNK et RAR devrait se poursuivre. »