Office-dokumenttien makroja hyödyntävät virukset olivat yleisiä 1990-luvun lopussa ja 2000-luvun alussa. Makrot ovat komentojonoja, joiden avulla voidaan automatisoida tehtäviä esimerkiksi Wordissa ja Excelissä. Viime aikoina makroja hyödyntävät haittaohjelmat ovat taas yleistyneet. Kohteena ovat varsinkin yritykset, joihin tietoja varastavia ja kiristyshaittaohjelmia pyritään levittämään sähköpostin välityksellä.

Jälleen kasvava ilmiö

TrendLabs Security Intelligence Blogissa kerrotaan, että makrojen käyttö haittaohjelmien levittämiseen lisääntyi 2014 ja on kasvanut huimasti alkuvuonna 2015. Erityisenä kohteena ovat yritykset, joita lähestytytään kohdennetuilla sähköpostikampanjoilla. Tyypillisesti makrohaittaohjelmat tulevat Word- tai Excel-tiedoston mukana, joka on liitetty esimerkiksi laskuksi, kuitiksi tai tilausvahvistukseksi naamioituun viestiin. Yleisiä makrojen asentamia haittaohjelmia ovat pankkitunnuksia varastavat troijalaiset.

Kasvavana ilmiönä on myös kiristyshaittaohjelmien levittäminen Word-makrojen avulla. Esimerkiksi Symantecin tietoturvablogin mukaan Ranskassa on havaittu viestejä, jotka on näyttävät tulevan Ranskan oikeusministeriöltä. Jos liitteenä olevan dokumentin makron suoritus sallitaan, makro asentaa aktivoiduttuaan useita haittaohjelmia, mm. tiedostoja salaavan kiristyshaittaohjelman.

Käyttäjän tietoturvatietoisuus on tärkeässä roolissa

Koska makrohaittaohjelmia levitettiin viimeksi laajalti reilu kymmenen vuotta sitten, monet käyttäjät eivät nykyään ole asian suhteen valveutuneita ja ymmärrä makroihin liittyviä riskejä. Varsinkin yhdistettynä vakuuttavan kuuloiseen viestiin moni erehtyy sallimaan dokumentin makrot. Sähköposti on helppo väärentää siten, että se näyttää tulevan luotettavalta lähettäjältä. Tällaiseen huijaamiseen tarvittavia tietoja on usein helppo saada selville organisaation internetsivuilta, sähköpostitse tai puhelimitse suostuttelemalla käyttäjä kertomaan hyödynnettävissä olevia tietoja.

Estä makrojen tarpeeton suorittaminen

ATK-ylläpitäjät voivat suojata organisaatiota makrohaittaohjelmilta muun muassa seuraavien ohjeiden avulla:

• Estä asiakirjojen makrojen oletusarvoinen suorittaminen.
• Jos tarvitset makroja esimerkiksi asiakirjapohjissa organisaatiosi sisällä, salli vain tietyissä tiedostoissa tai tietyn hakemiston tiedostoissa olevat makrot ja estä muut.
• Ota käyttöön käytäntö, että asiakirjoja ei jaeta sähköpostilla, vaan ne tallennetaan sovittuun paikkaan verkkolevylle.
• Muista säännöllinen varmuuskopiointi siltä varalta, että saat haittaohjelmatartunnan.

Myös jokaisen tietokoneenkäyttäjän tulee olla valppaana:

• Älä avaa sähköpostilla saamiasi tiedostoja harkitsematta. Mieti, miten voit varmistua viestin aitoudesta ennen viestin avaamista. Sähköposti on helppo väärentää näyttämään organisaation sisäiseltä postilta.
• Älä tee itsestäsi isoa ja näkyvää maalia. Mieti, ennen kuin annat yhteystietojasi, kuten sähköpostiosoitettasi, verkkosivuille. Luotatko, että sivuston haltija säilyttää ja käyttää tietojasi oikein?

Lisätietoja:

•  
• http://blog.trendmicro.com/trendlabs-security-intelligence/macro-malware-when-old-tricks-still-work-part-1
• http://blog.trendmicro.com/trendlabs-security-intelligence/macro-malware-when-old-tricks-still-work-part-2/
• http://www.pcworld.com/article/2866512/macrobased-malware-is-making-a-comeback-researchers-warn.html
• http://www.symantec.com/connect/blogs/ransomware-return-macro