вслух.net

Файлы XLL в Microsoft Excel могут представлять серьезную угрозу безопасности

Файлы XLL в Microsoft Excel могут представлять серьезную угрозу безопасности
Microsoft заблокировала запуск макросов по умолчанию в своем наборе программ Office, но исследователи говорят, что есть обходные пути.


Согласно новому отчету Cisco Talos, через несколько месяцев после введения запрета в киберпреступном сообществе наблюдается всплеск популярности одного конкретного обходного пути.

Команда утверждает, что киберпреступники все чаще используют файлы XLL (в отличие от XLS и XLSX) для доставки вредоносного кода на целевые конечные точки.(откроется в новой вкладке).

Исследователи объясняют, что файлы XLL представляют собой «тип файла библиотеки динамической компоновки (DLL), который можно открыть только в Excel». Другими словами, с файлами XLL электронные таблицы Microsoft Excel могут использовать дополнительные функции, предоставляемые сторонними приложениями.

Хотя использование файлов XLL в качестве оружия хакеров не является чем-то новым (о первых образцах сообщалось еще в 2017 году), эти файлы использовались редко, пока Microsoft не решила заблокировать запуск макросов в файлах, загруженных из Интернета. Теперь, с 2021 года, все больше семейств вредоносных программ начали развертывать альтернативное решение.

В течение некоторого времени после [середины 2017 года] использование XLL-файлов носило спорадический характер и существенно не увеличивалось до конца 2021 года, когда его начали использовать популярные семейства вредоносных программ, такие как Dridex и Formbook. В настоящее время значительное количество продвинутых постоянных угроз и семейств стандартных вредоносных программ используют XLL в качестве вектора заражения, и это число продолжает расти

— Cisco Talos.

Среди групп, использующих файлы XLL, есть китайский злоумышленник APT10 (также известный как Potassium), который использовал его для распространения бэкдора Anel, Cicada (AKA Stone Panda, TA410), группа, которая якобы «немного связана» с APT10, а также с DoNot и Fin7.

Судя по всему, злоумышленники использовали файлы XLL для доставки различных семейств вредоносных программ, таких как Warzone RAT или Ducktail. Компании предупреждены о том, что в будущем число таких угроз будет увеличиваться.
Мы в Мы в Яндекс Дзен
Пять лучших бесплатных альтернатив Adobe PDF ReaderКадровый голод в Новой Зеландии утоляют роботами

Технологическая война: китайско-корейские торговые связи в области полупроводников рушатся под давлением США

Технологическая война: китайско-корейские торговые связи в области полупроводников рушатся под давлением США

Samsung и SK Hynix испытывают трудности с расширением в Китае, потому что Вашингтон отрезал Китай от доступа к передовому оборудованию для производства чипов....
  • 642
5000 пикселей на дюйм: Беспрецедентное увеличение плотности позволяет сделать изображение на дисплее сверхреалистичным

5000 пикселей на дюйм: Беспрецедентное увеличение плотности позволяет сделать изображение на дисплее сверхреалистичным

Исследователи из Массачусетского технологического института в сотрудничестве с коллегами из других мировых университетов придумали способ сделать экраны с...
  • 185