De meeste inbrekers krijgen toegang tot de huizen van hun slachtoffers via de voordeur. Dit komt allereerst simpelweg omdat elk huis er een heeft – en ze worden vaak ontgrendeld gelaten. Microsoft Office-documenten zijn al jaren onze digitale voordeur. Bijna iedereen heeft ooit Office-documenten gebruikt, of het nu Word, PowerPoint of Excel is, en elke dag worden duizenden e‑mails uitgewisseld met dit soort documenten als bijlage. Meestal twijfelen we niet eens aan hun bron, waardoor ze een zeer wijd openstaande deur zijn.
Het kwaadwillig gebruik van Microsoft-documenten komt zo vaak voor dat ze zelfs hun eigen naam hebben: maldocs. Een van de belangrijkste technieken die cybercriminelen gebruiken om ze te maken, is misbruik van Office-macro’s. Gelukkig is Microsoft nu gestart met het standaard blokkeren van macro’s, maar het duurde even voordat het zover was. Hoeven we ons nu geen zorgen meer te maken over verdachte bijlagen? Laten we eens kijken hoe e‑mail-infectieketens zich dit jaar hebben verbreed.
Het al lang bestaande probleem met macro’s
Hoewel de proof of concept (PoC) en de actieve exploits met behulp van VBA-macro’s al in 1995 verschenen, misten ze de functionaliteit voor het stelen van informatie en werden ze meestal gebruikt voor grappen. Dit soort aanvallen stierven in 2010 uit toen Microsoft de “beschermde weergave” introduceerde – een gele banner die gebruikers waarschuwt om de functionaliteit van macro’s niet in te schakelen. Het gebruik van macro’s kreeg echter een opleving toen dreigingsactoren zich realiseerden dat ze gebruikers met behulp van een beetje social engineering konden overtuigen om macro’s in te schakelen en deze vervolgens te gebruiken om andere binaire bestanden te downloaden en uit te voeren.
Het kwaadwillende gebruik van Office-macro’s en kwetsbaarheden is in de loop der jaren in populariteit toegenomen. Doorgaans is een zorgvuldige socially engineered e‑mail met een Excel-bestand met een kwaadaardige macro het favoriete wapen van zowel onervaren actoren als eersteklas APT-groepen. Uit de laatste cijfers van ThreatCloud blijkt dat alleen Excel-bestanden al 49% uitmaken van alle kwaadaardige bestanden die per e‑mail worden ontvangen.
Cybercriminelen worden creatief
Hoewel Microsoft in februari dit jaar aankondigde om VBA-macro’s op Office-documenten te blokkeren, kwam het begin juli op zijn beslissing terug. In antwoord op een gebruikersklacht gaf een Microsoft-vertegenwoordiger toe dat ze de beslissing hadden teruggedraaid “op basis van feedback”.
Microsoft kreeg te maken met een enorme terugval van gebruikers en heeft sindsdien de uitrol van VBA-macroblokkering hervat, waarbij wordt uitgelegd dat de terugtrekking van juli slechts tijdelijk was.
Tegen deze achtergrond zijn bedreigingsactoren begonnen met het onderzoeken van alternatieven voor niet-uitvoerbare kwaadaardige e‑mailketens, die meestal beginnen met verschillende soorten archiefbestanden zoals .ZIP en .RAR. In veel gevallen zijn die archiefbestanden beveiligd met een wachtwoord, waarbij het wachtwoord in de hoofdtekst van de e‑mail staat. Deze archiefbestanden bevatten meestal het schadelijke bestand, of in sommige gevallen een extra goedaardig bestand dat naar het schadelijke bestand leidt.
In april werd gemeld dat Emotet OneDrive-URL-links van zip-bestanden met kwaadaardige xll-bestanden per e‑mail zou sturen. Deze xll-bestanden zijn .dll-bibliotheken die zijn ontworpen voor Excel, en bedreigingsactoren gebruiken doorgaans een geëxporteerde xlAutoOpen-functie om kwaadaardige payloads te downloaden en uit te voeren. Verschillende bestaande tools en services, zoals Excel-DNA, zijn al beschikbaar om .xll-downloaders te bouwen.
Een ander type archiefbestanden dat een algemeen alternatief voor maldocs werd, is het gebruik van ISO-archieven, die het Mark-of-the-Web-beveiligingsmechanisme omzeilen. Samen met een combinatie van .hta-payload kunnen ze eruitzien als legitieme documenten, maar kwaadaardige code op de achtergrond uitvoeren. Bumblebee, een malware-loader die in februari werd gedetecteerd, levert verschillende payloads die vaak resulteren in ransomware-aanvallen, en naar verluidt gaat het in eerste instantie om .iso-bestanden die via e‑mail worden afgeleverd.
In juni werd ook ineens malware Snake Keylogger, na een lange afwezigheid, weer meer ingezet. Voorheen werd deze malware meestal verspreid via e‑mails met docx- of xlsx-bijlagen met kwaadaardige macro’s, maar de terugkeer was het gevolg van de verspreiding via pdf-bestanden – mogelijk gedeeltelijk als gevolg van de aankondiging van Microsoft.
Dus hoewel internetmacro’s nu standaard worden geblokkeerd, blijven cybercriminelen hun tactieken verder ontwikkelen en creatiever worden met nieuwe bestandstypen, net zoals we hebben ondervonden met Emotet, Bumblebee en Snake. Het gebruik van verschillende archiefbestanden is zo’n succes voor cybercriminelen, omdat de meeste mensen die bestanden niet als potentieel kwaadaardig beschouwen en vertrouwen op de bestanden die zich in de archieven bevinden, aangezien deze niet rechtstreeks van internet komen.
Vooruitkijkend kunnen we alleen maar verwachten dat meer geavanceerde malwarefamilies de ontwikkeling van nieuwe infectieketens zullen versnellen, met verschillende bestandstypen die met een wachtwoord zijn beveiligd om detectie te voorkomen, naarmate geavanceerde social engineering-aanvallen toenemen.
Het is nog nooit zo belangrijk geweest voor medewerkers om de risico’s van social engineering te begrijpen en een aanval te identificeren. Cybercriminelen sturen vaak een eenvoudige e‑mail die geen malware bevat, maar zich voordoet als een bekende om het gesprek aan te gaan. Nadat het vertrouwen is gewonnen, wordt het schadelijke bestand verzonden. En onthoud dat het misschien niet langer een Office-document of .exe-bestand is, maar een ander bestandstype zoals een .iso of PDF of infectieketens die verschillende bestandstypen combineren.
Daarom is educatie een van de belangrijkste onderdelen van een effectieve cyberbeveiligingsstrategie, maar het kan ook verstandig zijn om een robuuste e‑mailbeveiligingsoplossing te hebben die bijlagen in quarantaine plaatst en inspecteert, en voorkomt dat een kwaadaardig bestand het netwerk überhaupt binnenkomt.
Als beschermingsmiddel zouden organisaties ook moeten overwegen om deze macro’s te blokkeren via een sitebreed beveiligingsbeleid dat bestandsopschoning en geavanceerde Sandbox-emulatie combineert. Dit is vooral een effectief hulpmiddel voor het vroegtijdig detecteren van deze download-en-uitvoer-macrodocumenten. Als alternatief kan de verdediging bestaan uit het onderzoeken van inkomende documenten en het verwijderen van de macro’s voordat ze de beoogde gebruiker bereiken.
De toename van het gebruik van Microsoft-gerelateerde scams is een gevaar voor zowel individuen als organisaties. Als iemand eenmaal in het bezit is van de inloggegevens van een account, heeft hij toegang tot alle achterliggende applicaties zoals Teams, SharePoint en natuurlijk het Outlook e‑mailaccount. Een voorbeeld wat dit jaar opdook is een Outlook-phishingmail die gebruikers naar een frauduleuze Outlook-webpagina lokt met als onderwerpregel: “[Actie vereist] Laatste herinnering – Verifieer uw OWA (Outlook Web App)-account nu”, waarbij het slachtoffer wordt gevraagd zijn inloggegevens in te voeren.
Cybercriminelen spelen dus in op ons vertrouwen en het menselijke instinct om ‘de deal’ die we voor ogen hebben te sluiten.
