Зловмисне програмне забезпечення для макросів повернулося з появою складних тактик соціальної інженерії та популярністю макропрограм. Особливо макроси Microsoft Office є привабливою мішенню для кіберзлочинців через величезну базу користувачів MS Office.
Зловмисне програмне забезпечення для макросів часто використовує програмування Visual Basic for Applications (VBA) у макросах Microsoft Office для поширення вірусів, черв’яків та інших форм шкідливого програмного забезпечення, створюючи значний ризик для корпоративної безпеки.
Як працює макрозловмисне програмне забезпечення
Макрос (скорочення від «macroinstruction», буквально «команда з великої літери» від грецького makros: «великий») — це ланцюжок команд, який повідомляє таким програмам, як Excel і Word, виконувати певні дії. Макроси об’єднують кілька менших інструкцій в одну команду та виконують їх разом. Це покращує функціональність програми за рахунок прискорення повторюваних процесів.
Оскільки макроси є програмами, як і будь-яка інша програма, вони потенційно можуть бути скомпрометовані авторами шкідливих програм. Макровіруси написані на тій самій мові макросів, яка використовується в програмах, включаючи Microsoft Word або Excel. Під час макроатаки зловмисного програмного забезпечення кіберзлочинці часто створюють шкідливий код і вбудовують його в макроси документів, які розповсюджуються як вкладення у фішингових електронних листах. Щойно жертва відкриває вкладення, макроси, які в ньому містяться, можуть запускатися, і зловмисне програмне забезпечення починає заражати всі файли, відкриті за допомогою Microsoft Office. Ця здатність до швидкого розповсюдження є одним із основних ризиків макрозловмисного програмного забезпечення.
Рекомендації щодо захисту макросів від шкідливих програм
Макровіруси можуть викликати шкідливі функції, такі як зміна вмісту текстових документів або видалення файлів. Зловмисне програмне забезпечення Emotet також часто використовує макроси для отримання доступу до мережі. На наступному кроці він завантажує додаткові модулі, такі як банківські трояни, викрадачі паролів або програми-вимагачі. Деякі макровіруси також отримують доступ до облікових записів електронної пошти жертви та надсилають копії заражених файлів усім контактам, які, у свою чергу, часто відкривають ці файли, оскільки вони надходять із надійного джерела.
Якщо макроси у файлі Microsoft Office не запускаються, зловмисне програмне забезпечення не може заразити пристрій. Найбільша проблема для запобігання зараженню макросів шкідливим програмним забезпеченням полягає в правильному визначенні фішингових електронних листів. Слід звернути увагу на такі моменти:
- Електронні листи від невідомих відправників
- Електронні листи з вкладеними рахунками або ймовірно конфіденційною інформацією
- Документи, які забезпечують попередній перегляд перед увімкненням макросів
- Документи, макропроцеси яких виглядають підозрілими
Найкращий спосіб усунути загрозу макрозловмисного програмного забезпечення — зменшити взаємодію між шкідливим програмним забезпеченням і пристроєм. Організаціям слід використовувати комбінацію наведених нижче методів, щоб посилити свій захист від атак макрозловмисного програмного забезпечення.
Усуньте загрозу зловмисного програмного забезпечення макросу
1. Використання фільтра спаму/сміття та захисту від фішингу
Чим менше фішингових електронних листів надходить до папки "Вхідні", тим менша ймовірність атаки макрокоманд. Окрім класичного фільтра спаму, існують спеціальні технології захисту від фішингу, які також можуть виявляти складні фішингові атаки на основі машинного навчання. Ці рішення навчаються нормальній комунікаційній поведінці в компанії та подають тривогу у разі відхилень.
2. Використання сильної антивірусної програми
Антивірусне програмне забезпечення може надсилати сповіщення, коли користувач намагається відкрити шкідливе посилання або завантажити підозрілий файл.
3. Вкладення від невідомих відправників
Якщо користувачі не знають відправника електронного листа, їм не слід відкривати вкладення, навіть якщо електронний лист містить особисту інформацію або стверджує, що електронний лист є неоплаченим рахунком.
4. Вкладення в підозрілих електронних листах від відомих відправників
Інвертуючи код шкідливого файлу, дослідники безпеки можуть декодувати зашифровані дані, що зберігаються у зразку, визначити логіку домену файлу та виявити інші можливості файлу, які не були виявлені під час аналізу поведінки. Щоб змінити код вручну, потрібні такі інструменти аналізу зловмисного програмного забезпечення, як налагоджувачі та дизассемблери.
5. Перед виконанням перевірте, які процеси контролюють макрос
Якщо макрокоманда виконує зловмисні дії, макроси не слід вмикати. Оскільки багато користувачів знайомі з терміном макрозловмисне програмне забезпечення, але можуть не знати, як його ідентифікувати, компаніям також слід регулярно навчати своїх співробітників тому, як розпізнавати можливі загрози, особливо в сфері соціальної інженерії. Підвищення обізнаності користувачів про небезпеку макровірусів допомагає значно посилити корпоративну безпеку та мінімізувати успішні атаки макрозловмисного програмного забезпечення.
[starboxid=6]