Microsoft 宏攻击新动向

关键要点

• 恶意宏附件使用量下降了近 66%。
• 攻击者利用新策略规避 Microsoft 的防御。
• 使用 ISO、RAR 和 LNK 文件的恶意活动增加了近 175%。
• 容器文件可用于直接传播有效载荷。

根据 的报道，自从 Microsoft 默认阻止 Office 宏以来，恶意宏启用的附件使用量在 2021 年 10 月到 2022 年 6 月之间下降了近 66%。不过，威胁演员们已经采取了新的策略来规避 Microsoft 的防御体系，进行新的网络钓鱼攻击。

威胁因素通过利用容器文件格式来绕过默认的宏阻止。根据 Proofpoint 的报告，使用 ISO、RAR 和 LNK 文件的恶意活动在同一期间内增加了近 175%。研究人员表示：“当文档被提取后，用户仍需启用宏以便恶意代码自动执行，但文件系统不会识别该文档来自网络。”此外，报告显示，容器文件还可用于通过 DLL、LNK 和其他可执行文件的包含进行直接有效载荷分发。更值得注意的是，XLL 文件在恶意软件活动中的利用也有小幅增加。

总之，尽管 Microsoft 提高了安全防护，但恶意攻击者仍在迅速适应并持续对企业和个人用户构成潜在威胁。持续监测和更新安全策略，将是防范此类攻击的关键。