Tras los anuncios de Microsoft de que bloquearía por defecto las macros para los usuarios de Office, los ciberdelincuentes han decidido adoptar nuevas tácticas, técnicas y procedimientos en sus amenazas.

El equipo de investigación de Proofpoint, empresa líder de ciberseguridad y cumplimiento normativo, ha observado que entre octubre de 2021 y junio de 2022 ha disminuido un 66% el uso de archivos adjuntos habilitados por macros de parte de los atacantes.

Hasta este año, que se han aplicado los cambios en Microsoft, los ciberdelincuentes basaban sus amenazas en ingeniería social para convencer a la víctima de que el contenido adjunto era importante y que para poder verlo era necesario activar las macros VBA y XL4 en las aplicaciones de Office. Ahora han tenido que alejarse de esas prácticas para distribuir malware mediante archivos contenedores de tipo adjunto, como ISO y RAR, o de acceso directo de Windows (LNK). Cuando se abren, aparece contenido adicional (LNKs, DLLs o archivos ejecutables) que conduce a la instalación de la payload maliciosa. La investigación de Proofpoint revela que el número de campañas de amenazas que siguen este método ha aumentado casi un 175% en los últimos meses.

«Ya es un cambio significativo dentro del panorama de amenazas que se haya dejado de enviar directamente archivos adjuntos basados en macros por correo electrónico», apunta Sherrod DeGrippo, vicepresidenta de Investigación y Detección de Amenazas de Proofpoint. «Los ciberdelincuentes están adoptando nuevas tácticas para distribuir malware y continuarán incrementando el uso de archivos ISO, LNK y RAR en sus ataques».

Para Proofpoint, este ha sido uno de los mayores cambios en la metodología de amenazas por correo electrónico, el principal vector de ataque en la actualidad, que se ha dado recientemente en ciberdelincuencia. Con ello, los atacantes consiguen eludir las protecciones de bloqueo de macros por parte de Microsoft, así como facilitar la distribución de ejecutables que desencadenen en malware de seguimiento, reconocimiento y robo de datos, o ransomware.

fuente:diarioti