Microsoft ได้ตัดสินใจที่จะดำเนินการบล็อกมาโคร Excel 4.0 (XLM หรือ XL4) และ Visual Basic for Applications (VBA) เป็นค่าเริ่มต้นในแอป Office ต่าง ๆ ทำให้ผู้โจมตีอาจจะต้องปรับเปลี่ยนวิธีการ และเทคนิคขั้นตอนที่ใช้ในการโจมตี (TTP) ใหม่ ซึ่งทำให้ปริมาณการใช้มาโคร VBA และ XL4 ลดลงถึง 66% จากเดือนตุลาคม 2564 จนถึงมิถุนายน 2565

นักวิจัยจาก Proofpoint ระบุว่า ผู้โจมตีอาจจะเปลี่ยนวิธีการจากการฝังมาโครไว้ในไฟล์เอกสารไปยังทางเลือกอื่นมากขึ้น เช่น ไฟล์ ISO และ RAR รวมถึงไฟล์ Windows Shortcut (LNK) ในการแพร่กระจายมัลแวร์

ถึงแม้ว่าอีเมลฟิชชิ่งที่มีการใช้มาโคร VBA ในเอกสาร Office เป็นรูปแบบการโจมตีที่มีประสิทธิภาพสูง ซึ่งทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายบนเครื่องของผู้ใช้งานได้ทันทีหลังจากหลอกให้ผู้รับเปิดใช้งานไฟล์เอกสารที่เป็นอันตราย

แต่จากการที่ Microsoft ตัดสินใจที่จะบล็อกมาโครในไฟล์เอกสารเป็นค่าเริ่มต้น ทำให้การโจมตีด้วยการใช้ไฟล์แนบ ISO, RAR และ LNK เพิ่มขึ้นเกือบ 175% จากช่วงเวลาเดียวกัน โดยผู้โจมตีอย่างน้อย 10 ราย เริ่มใช้ไฟล์ LNK ตั้งแต่เดือนกุมภาพันธ์ พ.ศ. 2565

โดยมัลแวร์ที่เป็นที่รู้จักที่เริ่มเปลี่ยนวิธีการโจมตีดังกล่าว เช่น Emotet, IceID, Qakbot และ Bumblebee

ที่มา : thehackernews