مع اتخاذ Microsoft خطوات لحظر وحدات ماكرو Excel 4.0 (XLM أو XL4) و Visual Basic for Applications (VBA) افتراضيًا عبر تطبيقات Office، يستجيب الفاعلون الضارون من خلال تحسين تكتيكاتهم وتقنياتهم وإجراءاتهم الجديدة (TTPs).

قالت Proofpoint في تقرير تمت مشاركته مع The Hacker News : "انخفض استخدام VBA و XL4 Macros بنسبة 66٪ تقريبًا من أكتوبر 2021 حتى يونيو 2022".

هذا، ويتجه الخصوم بشكل متزايد بعيدًا عن المستندات الممكّنة بالماكرو إلى بدائل أخرى، بما في ذلك ملفات الحاويات مثل ISO و RAR وكذلك ملفات Windows Shortcut (LNK) في الحملات لتوزيع البرامج الضارة.

أثبتت وحدات ماكرو VBA المضمنة في مستندات Office المرسلة عبر رسائل البريد الإلكتروني المخادعة أنها تقنية فعالة من حيث أنها تسمح لممثلي التهديد بتشغيل المحتوى الضار تلقائيًا بعد خداع المستلم لتمكين وحدات الماكرو عبر تكتيكات الهندسة الاجتماعية.

ومع ذلك، أدت خطط Microsoft لحظر وحدات الماكرو في الملفات التي تم تنزيلها من الإنترنت إلى حملات البرامج الضارة المستندة إلى البريد الإلكتروني لتجربة طرق أخرى لتجاوز حماية Mark of the Web ( MOTW ) وإصابة الضحايا.

يتضمن ذلك استخدام مرفقات ملفات ISO و RAR و LNK ، والتي ارتفعت بنسبة 175٪ تقريبًا خلال نفس الفترة. يقال إن 10 جهات تهديدات على الأقل بدأت في استخدام ملفات LNK منذ فبراير 2022.