Blocco delle macro VBA e XL4, arriva la risposta del cybercrime

I cybercriminali hanno reagito abbandonando le minacce basate su macro e adottando nuove tattiche.

macro vba

Microsoft ferma le macro VBA e XL4 nelle applicazioni Microsoft Office, Proofpoint rileva come il cybercrime abbia così adottato nuove tecniche d’azione. Infatti Microsoft fermerà l’esecuzione delle macro VBA e XL4 presenti nei documenti Office scaricati da Internet per garantire più sicurezza. La risposta dei cybercriminali non si è fatta attendere, adottando nuove tattiche, tecniche e procedure (TTP).

Microsoft e il blocco delle macro VBA e XL4

Sulla base delle analisi delle minacce delle campagne di Proofpoint, che comprendono sia quelle analizzate manualmente che quelle contestualizzate dai ricercatori, da ottobre 2021 a giugno 2022, l’utilizzo di documenti macro allegati ai messaggi per diffondere il malware si è ridotto di circa il 66%. Con un aumento dell’utilizzo di file container, come allegati ISO e RAR e file di collegamento a Windows (LNK).

La risposta del cybercrime

Sherrod DeGrippo, Vice President, Threat Research and Detection di Proofpoint
L’abbandono da parte degli attori delle minacce della distribuzione diretta di allegati basati su macro nelle email rappresenta un cambiamento significativo. Stanno adottando nuove tattiche per distribuire malware. Inoltre si prevede che l’aumento dell’uso di file come ISO, LNK e RAR continuerà.

Blocco delle macro VBA e XL4 sulle applicazioni

Le macro VBA sono utilizzate dagli attori delle minacce per eseguire automaticamente contenuti dannosi. Questo quando l’utente ha abilitato attivamente le macro nelle applicazioni di Office. Le macro XL4 sono specifiche dell’applicazione Excel. Però possono essere utilizzate da parte dei cybercriminali come vettori di malware. Solitamente, gli attori delle minacce che distribuiscono documenti abilitati alle macro si affidano al social engineering. Così da convincere il destinatario che il contenuto è importante e che per visualizzarlo sia necessario abilitare le macro.