Office macro’s zijn uitermate populair bij hackers om malware binnen te brengen op computers. Volgens een nieuw onderzoek van Cofense blijkt dat 45 procent van alle malware uit Office-documenten komt.
Macro’s zijn al langer een populaire bijlage in emails om een malafide payload af te leveren. Ondanks dat Word die eerst opent in een beveiligde omgeving, klikken heel wat werknemers op de knop rechts bovenaan om het document te bewerken. Van zodra dat gebeurt, wordt de macro losgelaten op je systeem.
In die macro’s zit volgens het rapport de allerergste malware waaronder Geode, Chanitor, AZORult en GandCrab. Dankzij het Office-bestand kan de eerste fase van de aanval met één muisklik worden geactiveerd. De macro’s zijn dikwijls toegevoegde Visual Basic-scripts om rechtstreeks payloads te downloaden.
Macro’s beheren
De Microsoft Office Micro-functie zou standaard ingeschakeld moeten zijn bij elk bedrijf over alle werknemers. Echt waterdicht is die functie niet, je kan ze wegklikken met één klik, maar het voegt een stap toe dat extra aandacht vraagt.
IT-departementen kunnen macro’s over het hele bedrijf uitschakelen, maar heel wat bedrijven hebben macro’s nodig voor legitieme documenten. In dat geval zou je de documenten kunnen blokkeren aan de gateway, of verschillende regels opstellen zoals het blokkeren of grey-listen van documenten die van onbekende zenders komen.
Werknemers onderwijzen is ook een belangrijk onderdeel volgens Cofense. Iedereen moet op de hoogte blijven wat gevaar is en wat de gevolgen kunnen zijn. Continu sensibiliseren blijft belangrijk op vlak van cybersecurity.