Активизация злоумышленников, использующих макросы Microsoft Office для распространения вредоносного ПО, убедительно доказала, что этот вектор эффективен и по сей день. Разработчики из Microsoft надеются, что новая опция в Office поможет ограничить такие атаки: в версии 2016 введена возможность блокировки макрокоманд, которую должны по достоинству оценить администраторы корпоративных сетей.

Хотя макросы Office по умолчанию отключены в большинстве сетей, социальная инженерия помогает злоумышленникам заставить пользователя открыть документ-ловушку и произвести активацию вручную.

Согласно блог-записи Microsoft, возможность блокировки макросов введена для Word, Excel и Powerpoint, ее можно применить через групповые политики или в индивидуальном порядке. Эта опция позволяет администратору оценить масштабы использования макросов для создания доверенных рабочих потоков и блокировать доступ к макроконтенту в тех случаях, когда риск кажется высоким. При попытке включить макрос в документе Office пользователю отображается выделенное красным фоном предупреждение о том, что эта функция отключена в целях безопасности.

«Этот механизм полагается на информацию о зонах безопасности, которую Windows использует для определения уровня доверия, ассоциируемого с конкретной точкой размещения, — пишут разработчики в блоге. — Так, например, если Windows сочтет источник файла зоной Интернета, макросы в документе будут деактивированы».

Microsoft убеждена, что ее нововведение способно оградить организации от вредоносных вложений в письма из внешних источников и от документов-ловушек, предлагаемых для скачивания из хранилищ вроде Dropbox и Google Drive или из общедоступных папок.

Об атаках, использующих вредоносные макросы, разработчик впервые предупредил в начале прошлого года, отметив, что с середины декабря число VBA-детектов возросло до 8 тыс. в сутки. С тех пор и доныне эта техника активно применяется для доставки разных зловредов: банкера Dridex, многофункционального троянца BlackEnergy, ботов вроде Kasidet, вымогателя-шифровальщика Locky.

Согласно статистике Microsoft, в настоящее время 98% интернет-угроз, атакующих корпоративных пользователей и нацеленных на Office, используют макросы.

Microsoft, вредоносные макросы, дек 2015 - март 2016

Динамика VBA-детектов по данным сервиса Office 365 Advanced Threat Protection за последние три месяца (источник: Microsoft).

В связи с ростом количества заражений разработчики призывают сетевых администраторов непременно воспользоваться возможностью блокировки макросов и отключить все рабочие потоки, предполагающие их использование.

В качестве миниатюры используется скриншот предупреждения о блокировке макросов (источник: Microsoft).

Категории: Аналитика, Вредоносные программы, Кибероборона