Picus Security förklarar användningen av Visual Basic i cyberattacker

Cybersäkerhetsföretaget Picus Security har släppt en djupgående analys av hur Visual Basic-baserade språk används i cyberattacker. Analysen fokuserar på tekniken T1059.005 inom MITRE ATT&CK-ramverket, som beskriver hur angripare utnyttjar Visual Basic, Visual Basic for Applications (VBA) och VBScript för att exekvera skadlig kod och automatisera åtgärder på system.

Visual Basic och dess derivat, som VBA och VBScript, är allmänt använda programmeringsspråk som är djupt integrerade i Microsofts produkter och Windows operativsystem. Denna integration gör det möjligt för angripare att exekvera kod på sätt som kan smälta in i normal systemaktivitet. Särskilt VBA-makron i Microsoft Office-dokument och VBScript används ofta som en initial åtkomstpunkt för attacker, levererade via till exempel nätfiskemeddelanden.

Picus Securitys rapport lyfter fram exempel från verkliga attackkampanjer. En exemplifierande kampanj använde VBScript för att ladda ner och exekvera skadliga program från webben, utnyttjande register- och startmappsposter för att uppnå persistens. En annan kampanj, "Void Banshee", använde VBScript via en sårbarhet i operativsystemet för att ladda ner och köra ytterligare skadliga skript.

Rapporten betonar att angripare använder dessa skriptspråk mångsidigt i olika faser av attacker, inklusive att skaffa initial åtkomst, säkerställa persistens och utföra andra skadliga aktiviteter utan behov av externa verktyg. Identifiering och motåtgärder kräver fortsatt hotmedvetenhet och effektiva säkerhetslösningar.