Срочно. Microsoft борется с вредоносным ПО для макросов Excel

Макро-вредоносные программы были популярным выбором для хакеров с 1990-х годов, и даже в последние годы этот метод продолжает оставаться простым способом доставки вредоносных программ неосторожным людям.

Microsoft: борется с вредоносным ПО для макросов Excel. Фото: Pixabay

Microsoft в течение многих лет использовала интеграцию между своим интерфейсом сканирования антивредоносного ПО ( AMSI ) и Office 365 для устранения вредоносных программ макросов, сообщает ZDNet.

Но её успешные усилия по удалению сценариев макросов, написанных на Visual Basic для приложений (VBA), в конечном итоге подтолкнули злоумышленников к более старому макроязык под названием XLM, который появился в Excel 4.0 в 1992 году.

Теперь Microsoft расширяет интеграцию своего AMSI с Office 365, чтобы включить сканирование макросов Excel 4.0 XLM во время выполнения, что приводит AMSI в соответствие с VBA.

AMSI позволяет приложениям интегрироваться с любым антивирусом на компьютере под управлением Windows, чтобы антивирус мог обнаруживать и блокировать ряд вредоносных сценариев в документах Office. Microsoft отмечает, что её средство защиты от вредоносных программ Defender использует эту интеграцию для обнаружения и блокировки вредоносных программ на основе XLM и призывает других поставщиков средств защиты от вредоносных программ также принять её.

Хотя XLM был заменён VBA в 1993 году, XLM все ещё используется некоторыми клиентами, и поэтому он по-прежнему поддерживается в Excel.

«Будучи более элементарным, чем VBA, XLM достаточно мощный, чтобы обеспечить взаимодействие с операционной системой, и многие организации и пользователи продолжают использовать его функции в законных целях. Киберпреступники знают об этом и все чаще злоупотребляют макросами XLM, чтобы вызывать Win32 API и запускать команды оболочки», — объясняют специалисты службы безопасности Microsoft.

Появление в 2018 году сканирования среды выполнения VBA от AMSI «эффективно сняло броню, которой оснащалось вредоносное ПО с помощью макрообфускации, сделав вредоносный код более тщательным», — заявляет в Microsoft.

«Естественно, злоумышленники, подобные тем, кто стоит за Trickbot, Zloader и Ursnif, искали в других местах возможности, которыми можно злоупотреблять и работать под радаром решений безопасности, и нашли подходящую альтернативу в XLM», - продолжают представители компании.

Если антивирус обнаруживает вредоносный макрос XLM, макрос не выполняется, Excel завершает работу, блокируя атаку.

Проверка макросов XLM во время выполнения теперь доступна в Microsoft Excel и включена по умолчанию в Февральском текущем канале и Ежемесячном корпоративном канале для пользователей подписки на Microsoft 365

Упомянутые сервисы

Microsoft Excel Известный табличный процессор для создания отчётов, анализа данных, поиска моделей и тенденций, а также вывода прогнозов развития событий.

Известный табличный процессор для создания отчётов, анализа данных, поиска моделей и тенденций, а также вывода прогнозов развития событий.

Microsoft 365 Облачная служба с набором офисных веб-инструментов. В ней доступны электронная почта, документы, контакты, календарь и Office Web Apps (Word, Excel и PowerPoint).

Облачная служба с набором офисных веб-инструментов. В ней доступны электронная почта, документы, контакты, календарь и Office Web Apps (Word, Excel и PowerPoint).