El intento de Microsoft de impedir que los actores maliciosos engañen a los usuarios para que ejecuten malware y ransomware, bloqueando las macros de Visual Basic para aplicaciones (VBA) y Excel 4.0 (XL4) de forma predeterminada en sus aplicaciones de Office más populares, ha tenido un profundo efecto en el panorama de los ciberdelincuentes. , según datos de Proofpoint.
Microsoft anunció por primera vez planes para comenzar a bloquear macros VBA en febrero de 2022, y la política entrará en vigencia a fines de abril. Su paquete de Microsoft Office había admitido macros durante años, pero hasta ese momento, aunque advertía a los usuarios sobre los riesgos de habilitarlos, aún podían hacerlo haciendo clic en un botón. Esto dio lugar a una situación en la que los ciberdelincuentes sabían muy bien que podían usar macros para entregar cargas maliciosas a través de archivos de Office contaminados.
Según la política, los usuarios no pueden habilitar macros con un clic del mouse, sino que ven una barra de mensajes que les indica que las macros están bloqueadas, con opciones para obtener más información. Todavía pueden habilitar macros si lo desean, pero hacerlo ahora requiere que hagan clic en más capas, lo que reduce la posibilidad de que accidentalmente hagan clic en un correo electrónico de phishing convincente.
Proofpoint dijo que mediante el método simple de agregar más fricción, los actores de amenazas de todo el espectro, desde jugadores de poca monta hasta pandillas de ransomware ciberdelincuentes experimentados, han tenido que realizar cambios importantes en la forma en que realizan “negocios”.
Según sus datos, en 2022, la cantidad total de campañas que utilizan macros de cualquier tipo se redujo en dos tercios en el transcurso de 2022, y casi seis meses después de 2023, las macros apenas han aparecido en las campañas observadas.
Sin embargo, como resultado de esto, el ecosistema ciberdelincuente ha experimentado un “cambio monumental” en la actividad y el comportamiento de formas nunca antes vistas, según los investigadores de Proofpoint Selena Larson y Joe Wise.
“Los actores de amenazas motivados financieramente que obtienen acceso inicial a través del correo electrónico ya no utilizan cadenas de ataque predecibles y estáticas, sino técnicas dinámicas que cambian rápidamente”, escribieron Larson y Wise en un documento técnico recientemente publicado. “Basado en la telemetría de Proofpoint que analiza miles de millones de mensajes por día, [we] han observado la experimentación generalizada de los actores de amenazas en la entrega de carga útil de malware, utilizando tipos de archivos antiguos, cadenas de ataque inesperadas y una variedad de técnicas que dan como resultado infecciones de malware, incluido el ransomware”.
Según Larson y Wise, los actores de amenazas aún están probando varios comportamientos para tratar de encontrar el método más efectivo de usar el correo electrónico para obtener acceso inicial, y aún no ha surgido una alternativa confiable y consistente a las macros.
Se ha observado que los actores más sofisticados, incluidas las pandillas de ransomware, desarrollan, iteran y prueban nuevas tácticas, técnicas y procedimientos de entrega de malware (TTP), mientras que en otras partes de la comunidad ciberdelincuente, parece ser un juego de “seguir al líder”. desarrollándose, con nuevas técnicas extendiéndose viralmente a través del underground con el tiempo.
Contrabando de HTML y PDF sucios
Una de las técnicas más populares que ha visto un aumento dramático en el uso en los últimos 12 meses es el contrabando de HTML, donde el actor de amenazas “pasa de contrabando” un script codificado en un archivo adjunto HTML que, cuando se abre, es decodificado por el navegador web de la víctima y se utiliza para ensamblar la carga útil del malware.
El uso de contrabando de HTML aumentó considerablemente entre junio y octubre de 2022 antes de retroceder, y se ha disparado nuevamente desde febrero de 2023. El otoño pasado, y nuevamente desde marzo de 2023, ha sido muy utilizado por un actor de amenazas rastreado por Proofpoint como TA577. TA577 es un grupo de habla rusa particularmente prolífico que lleva a cabo una orientación amplia en múltiples sectores y geografías. Anteriormente se asoció con el uso de Sodinokibi, también conocido como REvil, ransomware, que probablemente se propagó a través de macros maliciosas. Es posible que ahora haya pasado a asociarse con los ataques de Black Basta.
Se ha observado que otros recurren al uso de archivos PDF, que en un escenario de ataque típico incluirán una URL en la que se debe hacer clic para comenzar la cadena de infección. Múltiples grupos que trabajan como intermediarios de acceso inicial (IAB) comenzaron a utilizar esta técnica en diciembre de 2022 y su prevalencia ha ido en aumento desde entonces.
Uno de los actores de delitos cibernéticos más grandes que comenzó a usar archivos PDF es TA570, un afiliado activo del malware troyano Qbot, también conocido como Qakbot, que se ha vinculado a los ransomwares ProLock y Egregor. Recientemente se ha observado el envío de archivos adjuntos en PDF que se dirigen a un archivo IMG comprimido protegido con contraseña que contiene un acceso directo que conduce a Qbot. En abril de 2023, se observó que experimentaba con el cifrado de PDF, posiblemente en un intento de dificultar que los equipos de seguridad y los investigadores identificaran su actividad.
“La experimentación y el cambio regular a nuevas técnicas de entrega de carga útil por parte de los actores de amenazas rastreados, especialmente los IAB, es muy diferente de las cadenas de ataque observadas antes de 2022 y presagia una nueva normalidad en la actividad de amenazas”, escribieron Larson y Wise. “Los ciberdelincuentes más experimentados ya no confían en una o varias técnicas, sino que desarrollan e iteran con frecuencia nuevos TTP. La rápida tasa de cambio para muchos actores de amenazas sugiere que tienen el tiempo, la capacidad y la comprensión del panorama de amenazas para desarrollar y ejecutar rápidamente nuevas técnicas”.
El rápido ritmo actual de evolución de TTP también está afectando a los equipos de seguridad, analistas e investigadores y desarrolladores de seguridad cibernética, que ahora enfrentan la posibilidad de tener que identificar mucho más rápidamente las tendencias emergentes y crear nuevas defensas para protegerse contra ellas.
Larson y Wise creen que esta tendencia continuará en el futuro previsible, y evaluaron que es poco probable que surja una sola cadena de ataque o una serie de técnicas que permanezcan consistentes, o que tengan el mismo poder de permanencia que alguna vez tuvo la explotación macro.