Het macrovirus is terug van weggeweest. Visual Basic for Applications is momenteel populair onder louche programmeurs die virussen schrijven. Met VBA werden in de jaren 90 macrovirussen gemaakt voor bijvoorbeeld spreadsheets, maar de komst van securityfeatures die macro's automatisch uitschakelen, maakten een eind aan deze populaire infectiemethode.

Bedrijven schakelen macro's weer in

Het NCSC waarschuwde eerder dit jaar al dat macrovirussen een comeback maken, omdat ze worden onderschat door bedrijven. Organisaties zien macrovirussen als archaïsch en niet relevant, terwijl er wel een behoefte is aan zulke elementen. Ze automatiseren bijvoorbeeld huisstijlen en hebben daarvoor macro's weer ingeschakeld, zo waarschuwde het cybercentrum. Bedrijven worden zo op de korrel genomen door gerichte aanvallen.

Maar ook consumenten die de default beveiligingsinstellingen laten zitten lopen risico: nieuwe macrovirussen vragen ook gebruikers expliciet om macro's in te schakelen in een tekstelement bovenaan het document. De makers rekenen erop dat gebruikers een wazig deel van het document 'zichtbaar maken' door de feature in te schakelen op dezelfde manier waarop Outlook-gebruikers vaak achteloos afbeeldingen zichtbaar maken.

Geen Office-gat nodig

Dit nieuwe social engineering-element lijkt te werken, want meer dan de helft van alle documentaanvallen van de afgelopen tijd zou zijn uitgevoerd met een macro, in plaats van een aanval via bijvoorbeeld een gat in Office. Het voordeel van een macrovirus is dan ook dat aanvallers geen weg hoeven te vinden via een exploit, maar direct via de gebruiker een payload kunnen afleveren.