Omdat Microsoft macro’s automatisch gaat blokkeren in bestanden die van internet afkomstig zijn, proberen criminelen dit te omzeilen door zulke bestanden eerst in te pakken. Securitybedrijven signaleren een opvallende stijging van het aantal kwaadaardige ZIP-, ISO- en IMG-bestanden als bijlagen in e-mails.
Microsoft blokkeert binnen afzienbare tijd VBA-macro’s wanneer wordt gedetecteerd dat het bestand waarin ze zich bevinden van internet afkomstig is. Daarvoor krijgen deze bestanden het attribuut ‘Mark of the Web’ (MOTW). Maar het systeem is nog niet slim genoeg om dit te doen voor bestanden die in een containerformaat zijn verpakt die vervolgens van internet worden gedownload, of als bijlage in een e-mail zijn toegevoegd.
Beveiligingsbedrijf Proofpoint ontdekte dat het aantal e-mailaanvallen waarbij documenten met macro’s als bijlage worden gebruikt, significant is gedaald. Tussen oktober 2021 en juni 2022 daalde dit zelfs met meer dan twee derde. In ditzelfde tijdsbestek is het aantal campagnes dat gebruikmaakt van containerbestanden, waaronder ISO- en RAR-bestanden, en Windows Shortcut (LNK)-bijlagen met bijna 175% toegenomen.
Deze toename is deels toe te schrijven aan het toegenomen gebruik van ISO- en LNK-bestanden in campagnes. Cybercriminelen gebruiken deze bestanden steeds vaker als mechanisme voor de eerste toegang, bijvoorbeeld bij de verspreiding van Bumblebee. Het gebruik van ISO-bestanden is tussen oktober 2021 en juni 2022 met meer dan 150% toegenomen. Meer dan de helft van de 15 getraceerde cybercriminele groepen die in deze periode ISO-bestanden gebruikten, begon deze na januari 2022 in campagnes te gebruiken.
Proofpoint waarschuwt dat het gebruik van containerformaten een blijvertje gaat worden. “Dit is een van de grootste verschuivingen in het dreigingslandschap voor e-mailaanvallen is in de recente geschiedenis. Het is waarschijnlijk dat bedreigingsactoren containerformats blijven gebruiken om malware te verspreiden, en dat ze minder vertrouwen op bijlagen met macro’s.”
