In een half jaar tijd is het aantal aanvallen via macro-malware verdubbeld, reden voor netwerkgigant Cisco om alarm te slaan. De malware wordt verspreid via e-mailbijlagen die Word-documenten bevatten. Zodra het document wordt geopend wordt de gebruiker gevraagd of hij macro's wil inschakelen, aangezien Microsoft dit vanwege veiligheidsredenen standaard heeft uitgeschakeld.

Volgens Tim Gurganus van Cisco zijn veel mensen het gevaar van macro's echter vergeten en schakelen die vervolgens in, waardoor de kwaadaardige code in het document malware kan downloaden en installeren. Een succesvolle aanpak, zo blijkt uit de toename van het aantal e-mailaanvallen waarbij macro-malware wordt gebruikt. Het probleem wordt vergroot doordat de meeste e-mailfilters en bedrijven Office-documenten niet blokkeren en de kwaadaardige macro-code zeer geobfusceerd en lastig te detecteren is.

De eerste kwaadaardige macro's bestonden nog uit 150 regels code, inmiddels zijn dat er 1500 geworden. Ook hebben de makers allerlei maatregelen genomen om detectie te voorkomen en zijn de tactieken op het gebied van social engineering verfijnd. Zo lieten de eerste exemplaren na te zijn geopend een lege pagina zien, wat gebruikers kon alarmeren dat er iets mis was. Sinds begin dit jaar worden "afleidingsdocumenten" getoond terwijl in de achtergrond de infectie plaatsvindt. Daardoor zal de gebruiker niet vermoeden dat het om malware gaat.

Verder blijkt dat de aanvallers regelmatig legitieme gehackte websites of clouddiensten zoals Dropbox, Google Drive of Pastebin.com gebruiken om de malware te hosten. Het grote voordeel hiervan is dat de domeinen niet in het netwerkverkeer opvallen en ook niet snel zullen worden geblokkeerd. "Macro-malware is dan ook een goed voorbeeld van malwaremakers die op streng wordende beveiligingsmaatregelen reageren, zoals het blokkeren van zip-bestanden die exe-bestanden bevatten. Aanvallers blijven hun tactieken, technieken en procedures aanpassen", zegt Gurganus.