Key Takeaways
- Keputusan Microsoft untuk memblokir makro akan merampas sarana populer ini untuk menyebarkan malware kepada aktor ancaman.
- Namun, para peneliti mencatat bahwa penjahat dunia maya telah mengubah taktik dan secara signifikan mengurangi penggunaan makro dalam kampanye malware baru-baru ini.
- Memblokir makro adalah langkah ke arah yang benar, tetapi pada akhirnya, orang harus lebih waspada agar tidak terinfeksi, saran para ahli.
Sementara Microsoft memutuskan untuk memblokir makro secara default di Microsoft Office, pelaku ancaman dengan cepat mengatasi batasan ini dan merancang vektor serangan baru.
Menurut penelitian baru oleh vendor keamanan Proofpoint, makro tidak lagi menjadi sarana favorit untuk menyebarkan malware. Penggunaan makro umum menurun sekitar 66% antara Oktober 2021 hingga Juni 2022. Di sisi lain, penggunaan file ISO (gambar disk) mencatat peningkatan lebih dari 150%, sedangkan penggunaan LNK (Windows File Shortcut) file meningkat mengejutkan 1, 675% dalam jangka waktu yang sama. Jenis file ini dapat melewati perlindungan pemblokiran makro Microsoft.
"Aktor ancaman yang beralih dari mendistribusikan lampiran berbasis makro secara langsung di email mewakili perubahan signifikan dalam lanskap ancaman," Sherrod DeGrippo, Wakil Presiden, Riset dan Deteksi Ancaman di Proofpoint, mengatakan dalam siaran pers. "Aktor ancaman sekarang mengadopsi taktik baru untuk mengirimkan malware, dan peningkatan penggunaan file seperti ISO, LNK, dan RAR diperkirakan akan terus berlanjut."
Bergerak Mengikuti Waktu
Dalam pertukaran email dengan Lifewire, Harman Singh, Direktur di penyedia layanan keamanan siber Cyphere, menjelaskan makro sebagai program kecil yang dapat digunakan untuk mengotomatiskan tugas di Microsoft Office, dengan makro XL4 dan VBA sebagai makro yang paling umum digunakan oleh Pengguna kantor.
Dari perspektif kejahatan dunia maya, Singh mengatakan pelaku ancaman dapat menggunakan makro untuk beberapa kampanye serangan yang cukup buruk. Misalnya, makro dapat mengeksekusi baris kode berbahaya di komputer korban dengan hak istimewa yang sama dengan orang yang masuk. Pelaku ancaman dapat menyalahgunakan akses ini untuk mengekstrak data dari komputer yang disusupi atau bahkan mengambil konten berbahaya tambahan dari server malware untuk menarik malware yang lebih merusak.
Namun, Singh dengan cepat menambahkan bahwa Office bukanlah satu-satunya cara untuk menginfeksi sistem komputer, tetapi "itu salah satu [target] paling populer karena penggunaan dokumen Office oleh hampir semua orang di Internet."
Untuk mengatasi ancaman tersebut, Microsoft mulai menandai beberapa dokumen dari lokasi yang tidak tepercaya, seperti internet, dengan atribut Mark of the Web (MOTW), serangkaian kode yang menunjukkan fitur keamanan pemicu.
Dalam penelitian mereka, Proofpoint mengklaim penurunan penggunaan makro adalah tanggapan langsung terhadap keputusan Microsoft untuk menandai atribut MOTW ke file.
Singh tidak terkejut. Dia menjelaskan bahwa arsip terkompresi seperti file ISO dan RAR tidak bergantung pada Office dan dapat menjalankan kode berbahaya sendiri. "Jelas bahwa mengubah taktik adalah bagian dari strategi penjahat dunia maya untuk memastikan mereka mengerahkan upaya mereka pada metode serangan terbaik yang memiliki kemungkinan tertinggi [menularkan orang]."
Mengandung Malware
Menanamkan malware dalam file terkompresi seperti file ISO dan RAR juga membantu menghindari teknik deteksi yang berfokus pada analisis struktur atau format file, jelas Singh. "Misalnya, banyak deteksi untuk file ISO dan RAR didasarkan pada tanda tangan file, yang dapat dengan mudah dihapus dengan mengompresi file ISO atau RAR dengan metode kompresi lain."
Menurut Proofpoint, sama seperti makro jahat sebelumnya, cara paling populer untuk mengangkut arsip yang sarat malware ini adalah melalui email.
Penelitian Proofpoint didasarkan pada aktivitas pelacakan berbagai aktor ancaman terkenal. Ini mengamati penggunaan mekanisme akses awal baru yang digunakan oleh kelompok yang mendistribusikan Bumblebee, dan malware Emotet, serta oleh beberapa penjahat dunia maya lainnya, untuk semua jenis malware.
"Lebih dari setengah dari 15 pelaku ancaman terlacak yang menggunakan file ISO [antara Oktober 2021 dan Juni 2022] mulai menggunakannya dalam kampanye setelah Januari 2022, " tandai Proofpoint.
Untuk menopang pertahanan Anda terhadap perubahan taktik oleh pelaku ancaman ini, Singh menyarankan agar orang-orang waspada terhadap email yang tidak diminta. Dia juga memperingatkan orang-orang agar tidak mengklik tautan dan membuka lampiran kecuali mereka yakin tanpa keraguan bahwa file-file ini aman.
"Jangan percaya sumber apa pun kecuali Anda mengharapkan pesan dengan lampiran," tegas Singh. "Percaya, tetapi verifikasi, misalnya, hubungi kontak sebelum [membuka lampiran] untuk melihat apakah itu benar-benar email penting dari teman Anda atau email jahat dari akun mereka yang disusupi."