thehackernews.com

Para Peretas Dibuat Mati Kutu, Microsoft Menonaktifkan Trik Favorit Mereka

Para Peretas Dibuat Mati Kutu Oleh Microsoft Yang Menonaktifkan Trik Favorit Para Peretas

microsoft telah memblokir trik favorit para peretas
cdn.statically.io

Ada kabar baik dan buruk tentang tindakan keras Microsoft baru-baru ini terhadap makro Office yang tidak tepercaya. Hal baiknya adalah ia telah membatasi penggunaan makro Office di lampiran atau tautan email. Hal buruknya adalah penyerang hanya mengubah taktik dan meningkatkan penggunaan pintasan Windows .LNK.

Menurut firma keamanan Proofpoint, sejak Microsoft memblokir makro Office, penyerang telah beralih menggunakan file kontainer seperti lampiran ISO dan RAR dan file LNK (Pintasan Windows).

Titik balik utama untuk menggunakan makro adalah pada bulan Februari ketika Microsoft mengumumkan bahwa mereka akan memperkenalkan blok penyusun untuk makro Visual Basics for Applications (VBA) dari Internet mulai bulan April. Rencana peluncuran itu telah ditunda hingga minggu ini.

“Perubahan paling menonjol dalam data kampanye adalah munculnya file LNK; sejak Februari 2022, setidaknya 10 aktor ancaman yang dipantau telah mulai menggunakan file LNK. Jumlah kampanye yang berisi file LNK meningkat 1,675% sejak Oktober 2021”, catat Proofpoint.

Menurut Proofpoint, antara Oktober 2021 dan Juni 2022, jumlah lampiran email yang berisi makro berbahaya berkurang sekitar 66%.

File .LNK diambil oleh aktor ancaman sebelum Februari karena pembatasan tingkat makro Microsoft dimulai bertahun-tahun yang lalu.

Memanfaatkan makro Office, skrip dalam file Word atau Excel yang mengotomatiskan tugas berulang seperti akuntansi bulanan, adalah teknik yang berguna bagi penyerang karena ini bukan bug yang dapat diperbaiki tetapi bergantung pada penipuan karyawan, untuk mengaktifkan fitur yang paling orang tidak memiliki saya tidak perlu.

microsoft memblokir trik favorit para peretas
www.thetechoutlook.com

Langkah terbaru yang diterapkan Microsoft minggu ini adalah agar aplikasi Office memblokir makro VBA secara default di semua lampiran atau tautan dalam email yang diterima dari Internet. Ini mencegah administrator menyiapkan domain untuk memblokir makro VBA yang tidak tepercaya dan mempersulit pengguna untuk mengaktifkan makro setelah gangguan.

Sejak 2016, Microsoft secara bertahap memperkenalkan lebih banyak batasan untuk menjalankan makro. Pada saat itu, 98% ancaman yang menargetkan Office dikatakan menggunakan makro. Pada bulan Januari, ini juga menonaktifkan makro Excel 4.0 (XLM) secara default. XLM ditambahkan ke Excel pada tahun 1992 dan masih digunakan, meskipun VBA menggantikannya pada tahun 1993.

Pada tahun 2018, Microsoft menawarkan vendor antivirus kemampuan untuk berintegrasi dengan Office untuk memindai file untuk makro VBA berbahaya. Pada bulan Maret, ia menambahkan makro XLM ke antarmuka antivirus ini karena penyerang mulai menggunakan XLM sebagai tanggapan atas penghapusan makro VBA sebelumnya.

“Meskipun lebih primitif daripada VBA, XLM cukup kuat untuk menyediakan interoperabilitas dengan sistem operasi, dan banyak organisasi dan pengguna terus menggunakan fungsinya untuk tujuan yang sah. Penjahat dunia maya mengetahui hal ini dan semakin menyalahgunakan makro XLM untuk memanggil Win32 API dan mengeksekusi shell perintah, “Microsoft menjelaskan saat itu.

XLM, juga dikenal sebagai XL4, telah diadopsi oleh kelompok malware profesional di balik malware multiguna Emotet. Sekali lagi, penggunaan XLM berkorelasi dengan waktu langkah Microsoft untuk memblokir makro ini dan memungkinkan vendor antivirus untuk memindai file Office untuk skrip ini.

“Pada Maret 2022, penggunaan makro XL4 mencapai puncaknya. Ini kemungkinan akibat TA542, aktor yang menyebarkan malware Emotet, menjalankan beberapa kampanye dengan volume pesan yang lebih tinggi daripada bulan-bulan sebelumnya. TA542 di biasanya menggunakan Microsoft Dokumen Excel atau Word yang berisi makro VBA atau XL4. Bisnis Emotet berhenti pada bulan April dan mulai menggunakan metode pengiriman tambahan, termasuk file Excel Add In (XLL) dan lampiran LNK terkompresi dalam kampanye berikutnya, “catatnya Proofpoint.

 

 

 

 

Sumber: zdnet.com

Originally posted 2022-07-29 20:28:26.

Check Also

ulasan lengkap tentang google chrome flags

Ulasan Lengkap Dan Detail Tentang Chrome Flags (2022)

Semua Hal Yang Perlu Anda Ketahui Tentang Chrome Flags – Update Juni 2022 Salah satu …