Microsoft ha bloccato l'esecuzione delle macro nei documenti Office. Siamo al sicuro?

Come i criminali informatici si sono adattati al blocco predefinito delle macro da parte di Microsoft.

Una mossa di sicurezza attesa da tempo ha causato un effetto a catena nell'ecosistema della criminalità informatica.
Da quando Microsoft ha deciso di bloccare le macro di Office per impostazione predefinita, i cybercriminali sono stati costretti a evolversi, adottando nuovi metodi per diffondere il malware a un ritmo senza precedenti.

Per molto tempo, gli attori delle minacce hanno utilizzato le macro di Microsoft Office come strumento per recare danno ai computer dei loro bersagli. È per questo motivo che, nel 2022, con una mossa attesa da molti, Microsoft ha finalmente iniziato a bloccare le macro per impostazione predefinita sui file scaricati da Internet, anche se in modo non uniforme.

Ora, senza una delle loro armi preferite, gli hacker devono escogitare nuovi modi per portare il malware dove vogliono. L'energia che stanno spendendo per creare nuove catene di attacco è davvero unica, e i difensori informatici dovranno tenere il passo.

Come si sono adattati gli aggressori
Raramente un cambiamento così semplice ha fatto una differenza così grande nel panorama della criminalità informatica.
Nel 2021, anno dell'annuncio di Microsoft, i ricercatori di Proofpoint hanno rilevato ben oltre un migliaio di campagne dannose che utilizzavano macro.
Nel 2022, anno in cui è entrata in vigore la modifica della policy, gli attacchi con macro sono crollati del 66%.
Nel corso del 2023, le macro sono praticamente scomparse dai cyberattacchi. Al loro posto, gli hacker hanno bisogno di qualche altra soluzione.

I file container sono emersi come un'alternativa popolare l'anno scorso, consentendo agli aggressori di aggirare il tag "mark-of-the-Web" che Microsoft utilizza per contrassegnare tutti i file scaricati da Internet. Tuttavia, una volta che Microsoft ha risolto questo problema, questi file hanno fatto la fine delle macro.
Da allora, gli hacker sono alla ricerca della loro nuova gallina dalle uova d'oro.
Ad esempio, nella seconda metà del 2022, i ricercatori di Proofpoint hanno osservato un aumento significativo della tecnica chiamata “HTML smuggling”, ovvero l'infiltrazione di uno script codificato in un allegato HTML.
Lo scorso dicembre, alcune campagne malevole hanno iniziato a utilizzare OneNote, l'applicazione di Microsoft per prendere appunti, come mezzo per diffondere il malware. A gennaio, decine di attori delle minacce si sono uniti a questa tendenza e, negli ultimi mesi, oltre 120 campagne hanno utilizzato OneNote.
Nel 2023, il buon vecchio PDF si è confermato come un formato di file popolare per gli aggressori.
Tuttavia, secondo i ricercatori di Proofpoint, finora non c'è stato nulla che abbia lo stesso tipo di diffusione degli allegati contenenti macro malevole.

Niente relax per chi si occupa di sicurezza
Il fatto che le macro di Office siano fuori dei giochi non basta a far dormire sonni tranquilli a chi si occupa di sicurezza.
In questa fase, gli aggressori sono costretti a essere più creativi, il che offre loro più opportunità di sbagliare ma anche buone chance di mandare qualche colpo a bersaglio.
I difensori informatici dovranno perciò muoversi altrettanto velocemente per tenere il passo. Bisogna adottare un atteggiamento proattivo ed essere pronti a inventare nuove regole, perché gli autori delle minacce stanno cercando modi diversi per aggirare i rilevamenti esistenti.