.
Em março, a Microsoft começará a bloquear suplementos Excel XLL da Internet para desativar um vetor de ataque cada vez mais popular para criminosos.
Em uma frase Nota em seu roteiro do Microsoft 365, o fornecedor disse que a mudança foi uma resposta ao “número crescente de ataques de malware nos últimos meses”.
Pesquisadores de segurança disseram que depois que a Microsoft começou bloqueio Macros do Visual Basic for Application (VBA) por padrão no Word, Excel e PowerPoint em julho de 2022 para cortar uma via de ataque popular, grupos de ameaças começaram a usar outras opções, como arquivos LNK e anexos ISO e RAR.
Em dezembro, o grupo de inteligência de ameaças Talos da Cisco detalhado outra ferramenta visada pelos cibercriminosos: arquivos Excel XLL. Os pesquisadores do Talos não apenas detalharam como os criminosos usam os arquivos XLL, mas detalharam um aumento acentuado em seu uso desde que a Microsoft fechou a porta das macros VBA, observando que as primeiras amostras maliciosas foram enviadas ao VirusTotal em 2017.
“Por algum tempo depois disso, o uso de arquivos XLL é apenas esporádico e não aumentou significativamente até o final de 2021, quando famílias de malware de commodities, como Dridex e Formbook, começaram a usá-lo”, Vanja Svajcer, pesquisador de divulgação da Talos, escreveu no relatório.
Isso não deveria ser uma surpresa, disse Dave Storie, engenheiro de colaboração adversária da LARES Consulting Strong The One.
“Quando organizações como a Microsoft reduzem a superfície de ataque ou aumentam o esforço necessário para executar um ataque em suas ofertas de produtos, isso força os agentes de ameaças a explorar caminhos alternativos”, disse Storie. “Isso geralmente leva à exploração de opções previamente conhecidas, talvez menos ideais, para que os agentes de ameaças alcancem seus objetivos”.
Mesmo antes deste ano, alguns pesquisadores estavam vendo criminosos abrindo caminho para arquivos XLL. Pesquisadores da Wolf Security da HP disse que no quarto trimestre de 2021, houve um salto de 588% ano a ano nos invasores usando os arquivos para comprometer os sistemas, acrescentando que eles esperavam que a tendência continuasse em 2022, embora não estivesse claro na época se os suplementos do Excel substituiriam Macros do Office como a arma cibernética preferida.
Os arquivos XLL são um tipo de arquivo DLL que são abertos apenas no Excel e permitem que aplicativos de terceiros adicionem mais funcionalidades às planilhas. No Excel, se um usuário quiser abrir um arquivo com extensão .XLL no Windows Explorer, o sistema tentará automaticamente iniciar o Excel e abrir o arquivo, fazendo com que o Excel exiba um aviso sobre um possível código perigoso, semelhante ao exibido quando um O documento do Office contendo o código de macro VBA é aberto.
E, como acontece com as macros VBA, os usuários geralmente desconsideram o aviso.
“Os arquivos XLL podem ser enviados por e-mail e, mesmo com as medidas usuais de varredura antimalware, os usuários podem abri-los sem saber que podem conter código malicioso”, escreveu Svajcer.
Andrew Barratt, vice-presidente da Coalfire, disse Strong The One que reduzir o número de caixas de diálogo com as quais os usuários precisam lidar – e que os cibercriminosos sabem que serão ignorados por muitos – é uma vitória para as equipes de segurança.
“Para roubar uma típica palavra da moda da infosec, a melhor maneira de pensar nisso é como ataques macro de ‘próxima geração’”, disse Barratt. “Tal como acontece com muitos desses tipos de ataques, a melhor posição para o software é desabilitar a capacidade e ter um processo de alerta e alerta. O desafio é que, com o tempo, vemos o ‘tem certeza, você está com certeza a fadiga se instalou.” ®
.
