Con la adopción de medidas por parte de Microsoft para bloquear Excel 4.0 (XLM o XL4) y las macros de Visual Basic para Aplicaciones (VBA) por defecto en las aplicaciones de Office, los actores maliciosos están respondiendo refinando sus tácticas, técnicas y procedimientos (TTP).

"El uso de macros VBA y XL4 disminuyó aproximadamente un 66% desde octubre de 2021 hasta junio de 2022", dijo Proofpoint (empresa de seguridad empresarial estadounidense) en un informe, calificándolo como "uno de los mayores cambios en el panorama de las amenazas de correo electrónico en la historia reciente."

En su lugar, los adversarios están pivotando cada vez más lejos de los documentos habilitados para macros a otras alternativas, incluyendo archivos contenedores como ISO y RAR, así como archivos de acceso directo de Windows (LNK) en campañas para distribuir malware.

"Los actores de las amenazas están dejando de distribuir directamente archivos adjuntos basados en macros en el correo electrónico, lo que representa un cambio significativo en el panorama de las amenazas", dijo Sherrod DeGrippo, vicepresidente de investigación y detección de amenazas de Proofpoint, en un comunicado.

"Los actores de las amenazas están adoptando ahora nuevas tácticas para distribuir el malware y se espera que continúe el aumento del uso de archivos como ISO, LNK y RAR".

Las macros VBA incrustadas en documentos de Office enviados a través de correos electrónicos de phishing han demostrado ser una técnica eficaz, ya que permite a los actores de amenazas ejecutar automáticamente contenido malicioso después de engañar a un destinatario para que habilite las macros a través de tácticas de ingeniería social.

Sin embargo, los planes de Microsoft de bloquear las macros en los archivos descargados de Internet han hecho que las campañas de malware basadas en el correo electrónico experimenten con otras formas de eludir las protecciones de la Marca de la Web (MOTW) e infectar a las víctimas.

Esto implica el uso de archivos adjuntos ISO, RAR y LNK, que han aumentado casi un 175% durante el mismo periodo. Se dice que al menos 10 actores de amenazas han comenzado a utilizar archivos LNK desde febrero de 2022.

"El número de campañas que contienen archivos LNK aumentó un 1.675% desde octubre de 2021", señaló la compañía de seguridad empresarial, añadiendo que el número de ataques que utilizan archivos adjuntos HTML se duplicó con creces desde octubre de 2021 hasta junio de 2022.

Algunas de las familias de malware notables distribuidas a través de estos nuevos métodos consisten en Emotet, IcedID, Qakbot y Bumblebee.

"En general, estos otros tipos de archivos se adjuntan directamente a un correo electrónico de la misma manera que antes observábamos un documento cargado de macros", indicó DeGrippo.

"También hay casos en los que las cadenas de ataque son más enrevesadas, por ejemplo, con algunas campañas recientes de Qbot en las que un .ZIP que contiene una ISO está incrustado dentro de un archivo HTML directamente adjunto a un mensaje".

"En cuanto a conseguir que las víctimas previstas abran y hagan clic, los métodos son los mismos: una amplia gama de tácticas de ingeniería social para conseguir que la gente abra y haga clic. Las medidas preventivas que utilizamos para el phishing siguen aplicándose aquí".