Μπορεί η Microsoft να έχει εμποδίσει την default εκτέλεση macro εντολών από τη σουίτα προγραμμάτων Office, αλλά υπάρχουν ακόμα παρακάμψεις και απειλές από το Excel, λένε οι ερευνητές.
Σύμφωνα με μια νέα έκθεση της Cisco Talos, μια συγκεκριμένη παράκαμψη αντιμετωπίζει αύξηση της «υιοθέτησής» της από την κοινότητα των κυβερνοεγκληματιών, μήνες μετά την εφαρμογή της απαγόρευσης.
Σε αντίθεση με τα XLS και XLSX, η ομάδα υποστηρίζει ότι οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν όλο και περισσότερο τα αρχεία XLL για τη διανομή κακόβουλου κώδικα σε endpoints.
Δείτε επίσης: Οι χρήστες του Ουκρανικού στρατιωτικού συστήματος DELTA στοχοποιούνται από info-stealing malware
Αυξάνεται η δημοτικότητα
Τα αρχεία XLL είναι ένα ειδικό είδος αρχείου DLL που μπορεί να ανοιχτεί μόνο από το Microsoft Excel, σύμφωνα με την ερευνητική ομάδα. Ως εκ τούτου, τα αρχεία XLL επιτρέπουν στα λογιστικά φύλλα των χρηστών μέσα στο Excel να επωφεληθούν από επιπλέον χαρακτηριστικά από εφαρμογές τρίτων.
Τα αρχεία XLL χρησιμοποιούνται εδώ και καιρό ως όπλα (τα πρώτα δείγματα φέρεται να ανακαλύφθηκαν το 2017, σύμφωνα με αναφορές), αλλά μέχρι η Microsoft να πάρει την απόφαση να απαγορεύσει την εκτέλεση macro εντολών σε αρχεία που κατεβαίνουν από το διαδίκτυο, τα αρχεία αυτά δεν χρησιμοποιούνταν σχεδόν ποτέ.
Από το 2021, η εναλλακτική λύση εφαρμόζεται από περισσότερες malware “οικογένειες”.
Ο Vanja Svajcer, ερευνητής της Cisco Talos, σημειώνει στην έκθεση ότι “για αρκετό καιρό μετά [τα μέσα του 2017], η χρήση των αρχείων XLL ήταν σποραδική και δεν αυξανόταν σημαντικά μέχρι το τέλος του 2021, τότε που άρχισαν να το χρησιμοποιούν “οικογένειες” malware, όπως το Dridex και το Formbook”.
“Τα XLL χρησιμοποιούνται επί του παρόντος ως το μέσο μόλυνσης από έναν σημαντικό αριθμό φορέων προηγμένων και επίμονων απειλών των “οικογενειών” malware, και ο αριθμός αυτός αυξάνεται συνεχώς.”
Δείτε επίσης: Άκρως κερδοφόρα διαφημιστική απάτη αξιοποίησε τα Google ads σε ιστότοπους για ενήλικες
Η κινεζική ομάδα APT10 (επίσης γνωστή ως Potassium), η οποία το χρησιμοποίησε για τη διάδοση του Anel Backdoor, είναι μία από τις ομάδες που χρησιμοποιούν αρχεία XLL. Στη συνέχεια, υπάρχει η Cicada (επίσης γνωστή ως Stone Panda ή TA410), μια οργάνωση που λέγεται ότι είναι “συνδεδεμένη” με τις APT10, DoNot και Fin7.
Η ασφάλεια του υπολογιστή σας είναι πολύ σημαντική, μη την παραμελείτε.
Πηγή πληροφοριών: techradar.com
