Như các bạn đã biết, Microsoft đã tiến hành chặn macro Excel 4.0 (XLM hoặc XL4) và Visual Basic for Application (VBA) trên các ứng dụng Office. Vì thế, các hacker đang gấp rút tìm kiếm, điều chỉnh các chiến thuật, kỹ thuật và quy trình tấn công của chúng.
“Từ tháng 10/2021 tới tháng 6/2022, lượng sử dụng Macro VBA và XL4 giảm tới 66%”, báo cáo của Proofpoint cho biết. Họ gọi đây là một trong những sự thay đổi lớn nhất trong lịch sử của lĩnh vực lừa đảo qua email.
Thay vì sử dụng macro, hacker đang dần chuyển sang các lựa chọn thay thế khác, bao gồm các file container như ISO, RAR cũng như file Windows Shortcut (LNK) trong các chiến dịch phát tán mã độc.
“Các hacker đang dần chuyển từ việc phân phối trực tiếp các file đính kèm chứa macro độc hại sang những chiến thuật mới như dùng tệp ISO, LNK và RAR. Xu hướng này sẽ còn tiếp tục phát triển”, Sherrod DeGrippo, phó chủ tịch nghiên cứu và phát triển của Proofpoint cho biết.
Macro VBA nhúng trong các tài liệu Office được gửi qua email lừa đảo là kỹ thuật rất hiệu quả. Nó cho phép hacker tự động chạy mã độc sau khi người dùng xác nhận bật macro do bị lừa bởi các chiến thuật social enginerring.
Tuy nhiên, kế hoạch chặn macro theo mặc định trong các tệp được tải xuống từ internet của Microsoft khiến hacker phải tìm cách khác. Chúng sẽ phải nghiên cứu các phương thức để vượt qua sự bảo vệ của Mark of the Web (MOTW) và lây nhiễm mã độc cho nạn nhân.
Điều này dẫn tới việc sử dụng các file đính kèm dạng ISO, RAR và LNK trong email lừa đảo tăng tới 175% trong thời gian gần đây. Một số mã độc đáng chú ý được phân phối theo phương thức mới bao gồm Emotet, IcedID, Qakbot và Bumblebee.
Về cơ bản, để tránh bị nhiễm mã độc người dùng nên cẩn trọng với các email có chứa file đính kèm, kể cả từ những người quen biết. Nếu thấy nghi ngờ, hãy tải file về và mở trên máy ảo trước. Các phương thức bảo mật có thể phiền phức nhưng để nhiễm mã độc, nhất là ransomware thì còn phiền phức hơn nhiều.