Согласно новому отчету Cisco Talos, через несколько месяцев после введения запрета в киберпреступном сообществе наблюдается всплеск популярности одного конкретного обходного пути.
Команда утверждает, что киберпреступники все чаще используют файлы XLL (в отличие от XLS и XLSX) для доставки вредоносного кода на целевые конечные точки.(откроется в новой вкладке).
Исследователи объясняют, что файлы XLL представляют собой «тип файла библиотеки динамической компоновки (DLL), который можно открыть только в Excel». Другими словами, с файлами XLL электронные таблицы Microsoft Excel могут использовать дополнительные функции, предоставляемые сторонними приложениями.
Хотя использование файлов XLL в качестве оружия хакеров не является чем-то новым (о первых образцах сообщалось еще в 2017 году), эти файлы использовались редко, пока Microsoft не решила заблокировать запуск макросов в файлах, загруженных из Интернета. Теперь, с 2021 года, все больше семейств вредоносных программ начали развертывать альтернативное решение.
В течение некоторого времени после [середины 2017 года] использование XLL-файлов носило спорадический характер и существенно не увеличивалось до конца 2021 года, когда его начали использовать популярные семейства вредоносных программ, такие как Dridex и Formbook. В настоящее время значительное количество продвинутых постоянных угроз и семейств стандартных вредоносных программ используют XLL в качестве вектора заражения, и это число продолжает расти
— Cisco Talos.
Среди групп, использующих файлы XLL, есть китайский злоумышленник APT10 (также известный как Potassium), который использовал его для распространения бэкдора Anel, Cicada (AKA Stone Panda, TA410), группа, которая якобы «немного связана» с APT10, а также с DoNot и Fin7.
Судя по всему, злоумышленники использовали файлы XLL для доставки различных семейств вредоносных программ, таких как Warzone RAT или Ducktail. Компании предупреждены о том, что в будущем число таких угроз будет увеличиваться.
