Хакеры используют надстройки Excel в качестве вектора начального проникновения - «Новости»

  • 10:30, 07-янв-2023
  • Новости / Изображения / Вёрстка / Отступы и поля / Интернет и связь / Самоучитель CSS / Преимущества стилей / Текст
  • Owen
  • 0

Аналитики Cisco Talos рассказывают, что после того как Microsoft начала блокировать макросы VBA в загруженных из интернета документах Office (с отметкой Mark Of The Web), злоумышленникам пришлось пересматривать свои цепочки атак. Например, теперь хакеры все чаще используют файлы надстроек Excel (.XLL) в качестве начального вектора компрометации.


По словам экспертов, документы Office, распространяемые с помощью фишинговых писем и прочей социальной инженерии, остаются одним из наиболее популярных у злоумышленников векторов атак. Такие документы традиционно предлагают жертвам включить макросы для просмотра якобы безобидного контента, а на самом деле активируют скрытое выполнение малвари в фоновом режиме.


Ради борьбы с этими злоупотреблениями, в начале текущего года, Microsoft начала блокировать макросы VBA в загруженных из интернета документах Office. Хотя в компании признавали, что из-за этого получили негативный фидбек от пользователей и даже были вынуждены временно отменить это решение, в итоге блокировка VBA-макросов все же была продолжена.


Невзирая на то, что блокировка распространяется только на новейшие версии Access, Excel, PowerPoint, Visio и Word, злоумышленники начали экспериментировать с альтернативными путями заражения и развертывания малвари. Как сообщают исследователи, одним из таких «новшеств» стало использование файлов XLL, которые Microsoft описывает как «вид файлов DLL, которые можно открыть только в Excel».


«Файлы XLL можно отправлять по электронной почте, и даже с учетом работы обычных механизмов сканирования на наличие вредоносных программ, пользователи могут открыть их, не зная, что такие файлы могут содержать вредоносный код», — пишут в Cisco Talos.


Хакеры используют надстройки Excel в качестве вектора начального проникновения - «Новости»

Хотя Excel предупреждает о потенциальной опасности XLL, такие предупреждения пользователи обычно не замечают

По данным экспертов, хакеры сочетают надстройки, написанные на C++, с надстройками, разработанными при помощи бесплатного инструмента Excel-DNA. И если первые подобные эксперименты хакеров были замечены еще несколько лет назад, то 2021-2022 годах такие атаки стали развиваться гораздо активнее.





Исследователи пишут, что XLL уже во всю злоупотребляют китайские хак-группы APT10 и TA410 (причем они начали еще в 2017 году); русскоязычная группировка FIN7, которая начала использовать файлы надстроек в своих кампаниях минувшим летом; известный загрузчик малвари Dridex и загрузчик FormBook; а также другие крупные семейства вредоносов, включая AgentTesla, Ransomware Stop, Vidar, Buer Loader, Nanocore, IceID, Arkei, AsyncRat, BazarLoader и так далее.





«Поскольку все больше и больше пользователей переходят на новые версии Microsoft Office, вполне вероятно, что в будущем хакеры откажутся от вредоносных документов с VBA и перейдут на другие форматы (такие как XLL), или станут полагаться на использование недавно обнаруженных уязвимостей для запуска вредоносного кода в пространстве приложений Office», — резюмируют аналитики.


Аналитики Cisco Talos рассказывают, что после того как Microsoft начала блокировать макросы VBA в загруженных из интернета документах Office (с отметкой Mark Of The Web), злоумышленникам пришлось пересматривать свои цепочки атак. Например, теперь хакеры все чаще используют файлы надстроек Excel (.XLL) в качестве начального вектора компрометации. По словам экспертов, документы Office, распространяемые с помощью фишинговых писем и прочей социальной инженерии, остаются одним из наиболее популярных у злоумышленников векторов атак. Такие документы традиционно предлагают жертвам включить макросы для просмотра якобы безобидного контента, а на самом деле активируют скрытое выполнение малвари в фоновом режиме. Ради борьбы с этими злоупотреблениями, в начале текущего года, Microsoft начала блокировать макросы VBA в загруженных из интернета документах Office. Хотя в компании признавали, что из-за этого получили негативный фидбек от пользователей и даже были вынуждены временно отменить это решение, в итоге блокировка VBA-макросов все же была продолжена. Невзирая на то, что блокировка распространяется только на новейшие версии Access, Excel, PowerPoint, Visio и Word, злоумышленники начали экспериментировать с альтернативными путями заражения и развертывания малвари. Как сообщают исследователи, одним из таких «новшеств» стало использование файлов XLL, которые Microsoft описывает как «вид файлов DLL, которые можно открыть только в Excel». «Файлы XLL можно отправлять по электронной почте, и даже с учетом работы обычных механизмов сканирования на наличие вредоносных программ, пользователи могут открыть их, не зная, что такие файлы могут содержать вредоносный код», — пишут в Cisco Talos. Хотя Excel предупреждает о потенциальной опасности XLL, такие предупреждения пользователи обычно не замечают По данным экспертов, хакеры сочетают надстройки, написанные на C , с надстройками, разработанными при помощи бесплатного инструмента Excel-DNA. И если первые подобные эксперименты хакеров были замечены еще несколько лет назад, то 2021-2022 годах такие атаки стали развиваться гораздо активнее. Исследователи пишут, что XLL уже во всю злоупотребляют китайские хак-группы APT10 и TA410 (причем они начали еще в 2017 году); русскоязычная группировка FIN7, которая начала использовать файлы надстроек в своих кампаниях минувшим летом; известный загрузчик малвари Dridex и загрузчик FormBook; а также другие крупные семейства вредоносов, включая AgentTesla, Ransomware Stop, Vidar, Buer Loader, Nanocore, IceID, Arkei, AsyncRat, BazarLoader и так далее. «Поскольку все больше и больше пользователей переходят на новые версии Microsoft Office, вполне вероятно, что в будущем хакеры откажутся от вредоносных документов с VBA и перейдут на другие форматы (такие как XLL), или станут полагаться на использование недавно обнаруженных уязвимостей для запуска вредоносного кода в пространстве приложений Office», — резюмируют аналитики.

Другие новости

Реклама


Рекомендуем

Комментарии (0)

Комментарии для сайта Cackle



Уважаемый посетитель нашего сайта!
Комментарии к данной записи отсутсвуют. Вы можете стать первым!