Η Microsoft προσπαθεί να παρέχει στους πελάτες του Microsoft 365 βελτιωμένη προστασία XLL add-in, περιλαμβάνοντας αυτοματοποιημένο αποκλεισμό όλων αυτών των αρχείων που λαμβάνονται από το διαδίκτυο.
Δείτε επίσης: FanDuel: Προειδοποιεί για data breach μετά το MailChimp hack
Δείτε επίσης: Οι χάκερ χρησιμοποιούν συνημμένα Microsoft OneNote για να διαδώσουν malware
Η Microsoft ανακοίνωσε ότι η νέα λειτουργία θα είναι διαθέσιμη σε όλους τους χρήστες επιτραπέζιων υπολογιστών παγκοσμίως τον Μάρτιο, στα κανάλια Current, Monthly Enterprise και Semi-Annual Enterprise.
Οι εγκληματίες του κυβερνοχώρου έχουν υιοθετήσει τη χρήση των XLL add-ins (Excel DLLs) για τη διεξαγωγή εκστρατειών phishing, μεταμφιέζοντας κακόβουλα payload ως λήψεις από αξιόπιστες πηγές, όπως συνεργάτες, και με ψευδείς προφάσεις, όπως ψεύτικες διαφημίσεις διακοπών, προσφορές σε ιστότοπους και οδηγούς δώρων.
Όταν ένας ανυποψίαστος στόχος κάνει διπλό κλικ στο unsigned XLL αρχείο, θα συναντήσει μια προειδοποίηση για “πιθανές απειλές ασφαλείας” και μια ειδοποίηση ότι το συγκεκριμένο add-in μπορεί να περιέχει ιούς ή άλλο κακόβουλο λογισμικό. Σε αυτό το σημείο, ο χρήστης προτρέπεται να το ενεργοποιήσει για την τρέχουσα συνεδρία του.
Οι απρόσεκτοι χρήστες του Office θα μπορούσαν να κινδυνεύσουν χωρίς καν να το συνειδητοποιήσουν, εάν το κακόβουλο πρόσθετο ενεργοποιηθεί – αναπτύσσοντας σιωπηλά ένα ωφέλιμο φορτίο κακόβουλου λογισμικού στη συσκευή τους, ενώ εκτελείται στο παρασκήνιο.
Δείτε επίσης: Κινέζοι χάκερ εκμεταλλεύονται zero-day ευπάθεια σε συσκευές Fortinet
Για να διασφαλίσετε την ασφάλεια του συστήματος σας από οποιαδήποτε κακόβουλη δραστηριότητα, πρέπει να ανοίγετε ένα αρχείο XLL μόνο εάν προέρχεται από αξιόπιστο και αξιόπιστο πάροχο.
Επιπλέον, τέτοια αρχεία δεν αποστέλλονται γενικά ως συνημμένα email, αλλά εγκαθίστανται από έναν διαχειριστή των Windows. Επομένως, εάν λάβετε ένα email ή οποιοδήποτε άλλο μήνυμα που προωθεί τέτοια αρχεία, διαγράψτε το μήνυμα και αναφέρετέ το ως ανεπιθύμητο.
Τον Ιανουάριο, η Cisco Talos υπογράμμισε ότι τα XLL χρησιμοποιούνται ως φορέας μόλυνσης από επιτιθέμενους με οικονομικά κίνητρα και κακόβουλες ομάδες που υποστηρίζονται από το κράτος, όπως οι APT10, Donot, TA410 και FIN7, για να διαδώσουν το αρχικό τους payload στους υπολογιστές των θυμάτων.
Το τέταρτο τρίμηνο του 2021, η ομάδα αναλυτών απειλών της HP παρατήρησε δραστική αύξηση κατά 6 φορές των κακόβουλων φορέων που χρησιμοποιούν πρόσθετα του Excel (.XLL), όπως καταγράφεται στην έκθεση Threat Insights Report.
Αυτό αποτελεί μέρος μιας ευρύτερης προσπάθειας αποκλεισμού των παραγόντων απειλών από τη χρήση κακόβουλων εγγράφων του Office για την παράδοση και εγκατάσταση κακόβουλου λογισμικού στους υπολογιστές των στόχων τους.
Πηγή πληροφοριών: bleepingcomputer.com
