मुख्य तथ्य
- मैक्रो को ब्लॉक करने का माइक्रोसॉफ्ट का निर्णय मैलवेयर वितरित करने के लिए इस लोकप्रिय साधन के खतरे वाले अभिनेताओं को लूट लेगा।
- हालांकि, शोधकर्ताओं ने ध्यान दिया कि साइबर अपराधियों ने हाल के मैलवेयर अभियानों में मैक्रोज़ का उपयोग करके पहले से ही व्यवहार बदल दिया है और काफी कम कर दिया है।
- मैक्रो को ब्लॉक करना सही दिशा में एक कदम है, लेकिन अंत में, लोगों को संक्रमित होने से बचने के लिए और अधिक सतर्क रहने की जरूरत है, विशेषज्ञों का सुझाव है।
जबकि माइक्रोसॉफ्ट ने माइक्रोसॉफ्ट ऑफिस में डिफ़ॉल्ट रूप से मैक्रोज़ को ब्लॉक करने का फैसला करने में अपना मीठा समय लिया, धमकी देने वाले अभिनेताओं ने इस सीमा के आसपास काम करने और नए हमले वैक्टर तैयार करने के लिए जल्दी किया।
सुरक्षा विक्रेता प्रूफपॉइंट के नए शोध के अनुसार, मैक्रोज़ अब मैलवेयर वितरित करने का पसंदीदा साधन नहीं हैं। अक्टूबर 2021 से जून 2022 के बीच सामान्य मैक्रो के उपयोग में लगभग 66% की कमी आई। दूसरी ओर, आईएसओ फाइलों (एक डिस्क छवि) के उपयोग में 150% से अधिक की वृद्धि दर्ज की गई, जबकि एलएनके (विंडोज फाइल शॉर्टकट) के उपयोग में वृद्धि हुई। फ़ाइलें एक ही समय सीमा में चौंका देने वाली 1, 675% बढ़ीं। ये फ़ाइल प्रकार Microsoft के मैक्रो अवरोधन सुरक्षा को बायपास कर सकते हैं।
"ईमेल में मैक्रो-आधारित अटैचमेंट को सीधे वितरित करने से दूर जाने वाले थ्रेट एक्टर्स खतरे के परिदृश्य में एक महत्वपूर्ण बदलाव का प्रतिनिधित्व करते हैं," प्रूफपॉइंट पर थ्रेट रिसर्च एंड डिटेक्शन के उपाध्यक्ष शेरोड डीग्रिपो ने एक प्रेस विज्ञप्ति में कहा। "खतरे वाले अभिनेता अब मैलवेयर वितरित करने के लिए नई रणनीति अपना रहे हैं, और आईएसओ, एलएनके, और आरएआर जैसी फाइलों का बढ़ता उपयोग जारी रहने की उम्मीद है।"
समय के साथ चलना
लाइफवायर के साथ एक ईमेल एक्सचेंज में, साइबर सुरक्षा सेवा प्रदाता साइफेर के निदेशक, हरमन सिंह ने मैक्रोज़ को छोटे प्रोग्राम के रूप में वर्णित किया, जिनका उपयोग माइक्रोसॉफ्ट ऑफिस में कार्यों को स्वचालित करने के लिए किया जा सकता है, जिसमें XL4 और VBA मैक्रोज़ सबसे अधिक उपयोग किए जाने वाले मैक्रोज़ हैं। कार्यालय उपयोगकर्ता।
साइबर अपराध के नजरिए से, सिंह ने कहा कि धमकी देने वाले अभिनेता मैक्रोज़ का उपयोग कुछ बहुत ही खराब हमले अभियानों के लिए कर सकते हैं। उदाहरण के लिए, मैक्रोज़ पीड़ित के कंप्यूटर पर लॉग-इन किए गए व्यक्ति के समान विशेषाधिकारों के साथ कोड की दुर्भावनापूर्ण पंक्तियों को निष्पादित कर सकता है। धमकी देने वाले अभिनेता इस पहुंच का दुरुपयोग किसी छेड़छाड़ किए गए कंप्यूटर से डेटा निकालने के लिए कर सकते हैं या मैलवेयर के सर्वर से अतिरिक्त दुर्भावनापूर्ण सामग्री को हथियाने के लिए और भी अधिक हानिकारक मैलवेयर खींचने के लिए कर सकते हैं।
हालांकि, सिंह ने यह भी कहा कि कार्यालय कंप्यूटर सिस्टम को संक्रमित करने का एकमात्र तरीका नहीं है, लेकिन "इंटरनेट पर लगभग सभी द्वारा कार्यालय दस्तावेजों के उपयोग के कारण यह सबसे लोकप्रिय [लक्ष्यों] में से एक है।"
इस खतरे पर राज करने के लिए, Microsoft ने कुछ दस्तावेज़ों को अविश्वसनीय स्थानों से टैग करना शुरू किया, जैसे कि इंटरनेट, मार्क ऑफ़ द वेब (MOTW) विशेषता के साथ, कोड की एक स्ट्रिंग जो सुरक्षा सुविधाओं को ट्रिगर करती है।
अपने शोध में, प्रूफपॉइंट का दावा है कि मैक्रोज़ के उपयोग में कमी, Microsoft के MOTW एट्रिब्यूट को फाइलों में टैग करने के निर्णय की सीधी प्रतिक्रिया है।
सिंह हैरान नहीं हैं। उन्होंने समझाया कि आईएसओ और आरएआर फाइलों जैसे संकुचित संग्रह कार्यालय पर निर्भर नहीं हैं और अपने आप ही दुर्भावनापूर्ण कोड चला सकते हैं। "यह स्पष्ट है कि बदलती रणनीति साइबर अपराधियों की रणनीति का हिस्सा है ताकि यह सुनिश्चित किया जा सके कि वे अपना प्रयास सर्वोत्तम हमले पद्धति पर करें जिसमें [लोगों को संक्रमित करने] की उच्चतम संभावना हो।"
मैलवेयर युक्त
संपीड़ित फाइलों जैसे आईएसओ और आरएआर फाइलों में मैलवेयर एम्बेड करने से उन डिटेक्शन तकनीकों से बचने में मदद मिलती है जो फाइलों की संरचना या प्रारूप का विश्लेषण करने पर ध्यान केंद्रित करती हैं, सिंह ने समझाया। "उदाहरण के लिए, आईएसओ और आरएआर फाइलों के लिए कई डिटेक्शन फाइल सिग्नेचर पर आधारित होते हैं, जिन्हें आईएसओ या आरएआर फाइल को किसी अन्य कंप्रेशन मेथड से कंप्रेस करके आसानी से हटाया जा सकता है।"
प्रूफपॉइंट के अनुसार, उनके सामने दुर्भावनापूर्ण मैक्रोज़ की तरह, इन मैलवेयर से लदी आर्काइव्स को भेजने का सबसे लोकप्रिय माध्यम ईमेल के माध्यम से है।
प्रूफपॉइंट का शोध विभिन्न कुख्यात खतरे वाले अभिनेताओं की गतिविधियों पर नज़र रखने पर आधारित है। इसने सभी प्रकार के मैलवेयर के लिए भौंरा वितरित करने वाले समूहों, और इमोटेट मैलवेयर, साथ ही कई अन्य साइबर अपराधियों द्वारा उपयोग किए जा रहे नए प्रारंभिक एक्सेस तंत्र के उपयोग को देखा।
"आईएसओ फाइलों [अक्टूबर 2021 और जून 2022 के बीच] का उपयोग करने वाले 15 ट्रैक किए गए खतरे वाले अभिनेताओं में से आधे से अधिक ने जनवरी 2022 के बाद अभियानों में उनका उपयोग करना शुरू कर दिया," प्रूफपॉइंट पर प्रकाश डाला।
धमकी देने वाले अभिनेताओं द्वारा रणनीति में इन परिवर्तनों के खिलाफ अपने बचाव को मजबूत करने के लिए, सिंह ने लोगों को अवांछित ईमेल से सावधान रहने का सुझाव दिया। वह लोगों को लिंक क्लिक करने और अटैचमेंट खोलने के खिलाफ भी चेतावनी देते हैं जब तक कि वे संदेह से परे आश्वस्त न हों कि ये फ़ाइलें सुरक्षित हैं।
"किसी भी स्रोत पर तब तक विश्वास न करें जब तक कि आप अनुलग्नक के साथ संदेश की अपेक्षा नहीं कर रहे हों," सिंह ने दोहराया। "विश्वास करें, लेकिन सत्यापित करें, उदाहरण के लिए, [एक अनुलग्नक खोलने] से पहले संपर्क को कॉल करें, यह देखने के लिए कि क्या यह वास्तव में आपके मित्र का एक महत्वपूर्ण ईमेल है या उनके समझौता किए गए खातों से दुर्भावनापूर्ण है।"
