Файлы XLL в Microsoft Excel могут представлять серьезную угрозу безопасности

Microsoft заблокировала запуск макросов по умолчанию в своем наборе программ Office, но исследователи говорят, что есть обходные пути.


Согласно новому отчету Cisco Talos, через несколько месяцев после введения запрета в киберпреступном сообществе наблюдается всплеск популярности одного конкретного обходного пути.

Команда утверждает, что киберпреступники все чаще используют файлы XLL (в отличие от XLS и XLSX) для доставки вредоносного кода на целевые конечные точки.(откроется в новой вкладке).

Исследователи объясняют, что файлы XLL представляют собой «тип файла библиотеки динамической компоновки (DLL), который можно открыть только в Excel». Другими словами, с файлами XLL электронные таблицы Microsoft Excel могут использовать дополнительные функции, предоставляемые сторонними приложениями.

Хотя использование файлов XLL в качестве оружия хакеров не является чем-то новым (о первых образцах сообщалось еще в 2017 году), эти файлы использовались редко, пока Microsoft не решила заблокировать запуск макросов в файлах, загруженных из Интернета. Теперь, с 2021 года, все больше семейств вредоносных программ начали развертывать альтернативное решение.


— Cisco Talos.

Среди групп, использующих файлы XLL, есть китайский злоумышленник APT10 (также известный как Potassium), который использовал его для распространения бэкдора Anel, Cicada (AKA Stone Panda, TA410), группа, которая якобы «немного связана» с APT10, а также с DoNot и Fin7.

Судя по всему, злоумышленники использовали файлы XLL для доставки различных семейств вредоносных программ, таких как Warzone RAT или Ducktail. Компании предупреждены о том, что в будущем число таких угроз будет увеличиваться.