Компания Microsoft официально возобновила блокировку макросов Visual Basic for Applications (VBA) по умолчанию во всех приложениях Office, спустя несколько недель после объявления о планах временно отменить это изменение.
«На основе анализа отзывов клиентов мы внесли обновления в документацию для конечных пользователей и администраторов, чтобы прояснить, какие варианты вы можете использовать в различных сценариях» - сообщается в обновлении компании от 20 июля.
Ранее в феврале этого года компания Microsoft обнародовала свои планы по отключению макросов по умолчанию в приложениях Office, таких как Access, Excel, PowerPoint, Visio и Word, чтобы предотвратить злоупотребление этой функцией для распространения вредоносного ПО.
Известно, что большинство современных кибератак, наносящих ущерб, используют фишинговые рассылки по электронной почте для распространения поддельных документов с вредоносными макросами в качестве основного вектора первоначального доступа.
«Макросы могут добавить много функционала в Office, но они часто используются злоумышленниками для распространения вредоносного ПО среди ничего не подозревающих жертв» - отмечает компания в своей документации.
Отключение опции по умолчанию для любого файла Office, загруженного из Интернет или полученного в виде вложения в электронном письме, призвано устранить целый класс векторов атак и нарушить деятельность таких вредоносных программ, как Emotet, IcedID, Qakbot и Bumblebee.
Однако в первую неделю июля Microsoft пошла на попятную, сообщив изданию The Hacker News, что приостанавливает развертывание этой функции, чтобы внести дополнительные улучшения в удобство использования.
За прошедшие месяцы с момента начала предварительного анонса изменений в апреле, решение технологического гиганта блокировать макросы вызвало ответную реакцию, заставив хакеров адаптировать свои кампании и прибегнуть к альтернативным методам распространения вредоносов, таким как файлы .LNK и .ISO.
Тем не менее, использование вредоносных макросов в качестве точки входа для запуска цепочки заражения не ограничивается только Microsoft Office.
На прошлой неделе компания HP Wolf Security отметила «необычайно скрытную кампанию», которая использует текстовые файлы OpenDocument (.odt) для распространения вредоносного ПО, нацеленного на гостиничный бизнес в Латинской Америке.
Документы, которые прилагаются к вредоносным электронным письмам с запросами на бронирование, предлагают получателям включить макросы, что приводит к выполнению полезной нагрузки вредоносной программы AsyncRAT.
«Обнаружение вредоносных программ в файлах OpenDocument очень слабое» - заявил исследователь безопасности Патрик Шлепфер. «Структура файлов OpenDocument не так хорошо анализируется антивирусными сканерами и не так часто используется в кампаниях по распространению вредоносного ПО».
«Многие почтовые шлюзы предупреждают о более распространенных типах файлов, содержащих несколько связанных документов или макросов, но файлы OpenDocument не воспринимаются и не блокируются таким образом - это означает, что защита и обнаружение не работают на самом важном на первом этапе».
Источник: https://thehackernews.com