Verouderde macro-malware bezig aan comeback op Windows

Hackers blijven zoeken naar strategieën om malware te verspreiden via macro’s in Word- en Excel-documenten, dat melden onderzoekers aan DarkReading. De nogal verouderde vorm van malwareverspreiding lijkt bezig aan een comeback.

Sjoerd HartholtMeer van deze auteur

Microsoft

Macro's - kleine programmaatjes waarmee routines in Office-bestanden worden geautomatiseerd - zijn jarenlang veel gebruikt om computers te besmetten. Totdat Microsoft zijn kantoorapplicaties in 2001 heeft ingesteld om macro’s uit onbekende bron te weigeren.

Malware-onderzoeker Chester Wisniewski van Sophos waarschuwt tegenover DarkReading dat het gebruik van kwaadaardige macro's om Windows-systemen te infecteren het afgelopen jaar weer aanzienlijk is toegenomen. Aanvallers hebben namelijk manieren gevonden om de waarschuwingen die bedoeld zijn om systemen te verdedigen te omzeilen - of om eindgebruikers ervan te overtuigen toch door te klikken. In beide gevallen wordt malware verpakt in macro's dus uitgevoerd op pc's.

Nieuwe strategie

De nieuwe strategie maakt gebruik van bonnetjes als lokmiddel. Er worden berichten verspreid die lijken op facturen of ontvangstbewijzen van technische ondersteuning. In die berichten wordt beweerd dat er een flink bedrag in rekening wordt gebracht wanneer ontvangers zich niet afmelden voor een bepaald abonnement of product.

"Je wordt daarna verbonden met een Indiaas callcenter, waar een persoon je naar een website leidt om een geïnfecteerd Word-document met een macro te downloaden, en die persoon helpt je om de macro's in te schakelen", zegt Wisniewski. "En vanwege dat menselijke element vermoed ik dat aanvallers een hoger slagingspercentage behalen."

Flinke groei

Het aantal kwaadaardige macro’s, ook wel maldocs genoemd, is volgens Sophos in de tweede helft van 2020 flink toegenomen. Ze zijn gegroei van ongeveer 33 procent van alle ‘kwaadaardige bijlagen’ in e-mails naar nu wel 80 procent.

De bevindingen lijken aan te sluiten bij recent onderzoek naar Excel 4.0. Uit onderzoek van ReversingLabs bleek vorige week dat Excel 4.0-documenten massaal door cybercriminelen gebruikt worden om malware zoals ZLoader en Quakbot te verspreiden. De onderzoekers analyseerden tussen november 2020 en maart 2021 zo'n 160.000 Excel 4.0-documenten.

SPEEL DE SECURITY GAME!

Heb je de Security Game van AG Connect op donderdag 22 april gemist? Geen nood! Het spel valt nog te spelen. Ga de strijd aan met hackers in een echte security escaperoom, speciaal ontworpen voor AG Connect. De game-elementen worden afgewisseld met inhoudelijke sessies over security. Ga naar de website, meld je aan en speel mee. Voor security!