.
Os cibercriminosos estão mais uma vez abusando de arquivos de suplementos do Excel habilitados para macro (XLL) em ataques de malware em uma taxa cada vez maior, de acordo com uma nova pesquisa.
A HP Wolf Security revelou que os arquivos .xlam são agora a sétima extensão de arquivo mais comumente abusada no terceiro trimestre de 2023, subindo 35 posições do 42º lugar na lista do segundo trimestre.
Os ataques XLL não são novos e os pesquisadores observaram uma pausa nas explorações no início de 2023, mas uma grande atenção foi dada a eles nos últimos meses.
Os arquivos XLL oferecem aos invasores maiores recursos em comparação com alternativas como macros Visual Basic for Applications (VBA), que agora são bloqueadas por padrão, cortesia da intervenção da Microsoft em 2022, uma mudança que foi considerada na época como muito atrasada.
Eles ampliam a funcionalidade do Excel, facilitam ataques mais eficazes devido a recursos como suporte multithreading, e foram adotados no passado por desenvolvedores de famílias de malware como Dridex, Agente Tesla, Ladrão de guaxinime Formulário.
Os arquivos XLL habilitados para macro podem ser implementados de várias maneiras, com muitos invasores optando por usá-los como um dropper de malware diretamente dentro do documento, em vez de um meio de baixar cargas úteis da web.
A descoberta mais recente é outro exemplo de como os invasores continuam a evoluir suas táticas para aproveitar documentos aparentemente benignos do Microsoft Office para distribuir malware.
Desde que a Microsoft anunciou que iria bloquear macros VBA por padrãoentão retrocedeu brevemente antes bloqueando-os novamenteos invasores têm experimentado diferentes tipos de arquivos para lançar seus ataques de malware.
A onipresença dos documentos do Microsoft Office no mundo dos negócios significa que eles são percebidos por muitos como inerentemente seguros, tornando-os um meio ideal através do qual os criminosos podem lançar ataques.
Após o bloco nas macros VBA, Arquivos .LNK tornou-se o substituto de facto antes Arquivo do OneNote a experimentação tomou conta, junto com anexos ISO e RAR.
A Microsoft também tomou a decisão de bloquear anexos XLL de locais não confiáveis por padrão no início deste ano, tornando notável o aumento no uso.
Por padrão, os arquivos XLL originados de locais não designados explicitamente como “confiáveis” são bloqueados para os usuários. A Microsoft disse que a maioria das pessoas nunca precisará usar suplementos, pois eles não são necessários para casos de uso típicos do Excel.
Abuso em ataques ativos
Os invasores demonstraram como conseguiram contornar o bloqueio XLL no início deste ano, durante uma campanha de trojan de acesso remoto (RAT) Parallax em julho.
Disfarçados de faturas digitalizadas, acredita-se que os anexos XLL enviados aos usuários tenham vindo de contas de e-mail comprometidas, o que significa que a localização do XLL provavelmente teria sido considerada “confiável”, ignorando assim muitas das medidas de segurança padrão contra o tipo de arquivo.
Aproveitando a capacidade multithreading dos suplementos, o malware usou o método dropper mencionado acima para implantar a carga útil. Quando aberta pela primeira vez, a função xlAutoOpen, que contém o código malicioso, é executada para carregar várias bibliotecas do sistema e resolver dinamicamente suas funções.
Então, em um thread, o malware grava um executável “lum.exe” em uma nova pasta em C:ProgramData. Uma nova chave de registro chamada ‘ID’ é criada em HKEY_CURRENT_ USERSoftwareIntel com o nome da pasta do executável definido como seu valor. Lum.exe é então iniciado.
Em outro tópico estão ocorrendo esforços para aumentar a legitimidade percebida do arquivo – um arquivo de fatura fictício, que é apenas um modelo de fatura legítimo retirado da web, é salvo no disco da vítima.
O Parallax RAT utiliza múltiplas técnicas para evitar a detecção, como o esvaziamento do processo, e a partir daí torna-se operacional.
Os pesquisadores disse geralmente está disponível para compra por cerca de US$ 65 por mês e oferece aos invasores recursos como acesso de controle remoto às máquinas das vítimas, exfiltração de dados e roubo de credenciais.
Uma campanha semelhante também foi observada visando hotéis da LATAM com arquivos complementares, mas para PowerPoint em vez de Excel. Novamente, envolveu a instalação de um RAT – desta vez foi o XWorm, que possui recursos além do controle remoto da área de trabalho, incluindo keylogging e sequestro de área de transferência.
Separadamente, os ataques XWorm parecem estar se espalhando usando técnicas diferentes. Trelix identificado uma campanha do final de julho visando organizações de vários setores, mas desta vez principalmente nos EUA, na República da Coreia e na Alemanha.
O mecanismo de entrega aqui também era diferente, com os invasores optando por URLs maliciosos incorporados nos formatos .pdf, .docx e .rtf. ®
.
