Киберпреступники наводняют интернет-форумы вредоносными файлами Microsoft Excel

Веб-сайты с контактными формами и разделами для комментариев, а также дискуссионные форумы используются для распространения известного вредоносного ПО для похищения паролей через скомпрометированный файл Microsoft Excel.

Киберпреступники наводняют интернет-форумы вредоносными файлами Microsoft Excel. Фото: Pexels

Как сообщает Bleeping Computer , неназванная группа киберпреступников в течение последних двух недель рассылала спам в контактные формы и форумы различных сайтов, используя поддельные предложения, такие как рекламные запросы, подарочные руководства к праздникам или промо-акции на веб-сайтах.

Для некоторых приманок злоумышленники украли идентификаторы популярных брендов, создали поддельные веб-сайты и разместили на них вредоносный файл Excel XLL.

Файлы XLL похожи на файл DLL с добавлением функции xlAutoOpen, выполняемой Excel. Эта функция (в основном надстройка) позволяет Excel читать и записывать данные, импортировать их из других источников, создавать собственные функции и выполнять различные задачи.

В данном случае функция загружает и устанавливает вредоносное ПО RedLine. RedLine — это инфостилер, который собирает файлы cookie, учетные данные для входа и информацию о кредитных картах, хранящуюся в веб-браузерах. Он также может захватывать имена пользователей и пароли FTP, выполнять команды, загружать и активировать дополнительные вредоносные программы, а также делать скриншоты активных экранов Windows.

Если жертва устанавливает RedLine, она будет искать ценную информацию о Chrome, Edge, Firefox, Brave и Opera и отправлять всю собранную информацию на свои серверы управления и контроля, где операторы, скорее всего, будут сортировать и продавать данные на черный рынок.

Файлы XLL — это исполняемые файлы, что, вообще говоря, делает их потенциально опасным типом файлов. Пользователи должны проявлять особую осторожность при получении этих файлов и должны убедиться, что они получают файлы из надежного источника, прежде чем продолжить и запустить их.

Файлы XLL редко отправляются в виде вложений, напоминает Bleeping Computer , говоря, что они обычно устанавливаются через другую программу или через администратора Windows. Таким образом, с любым таким файлом, который приходит по почте, следует обращаться с особой осторожностью.

Помимо бдительности в отношении вложений и ссылок в электронных письмах, пользователи также должны обеспечивать безопасность своих конечных точек с помощью надежных и обновленных паролей, а также наличие в их системе мер безопасности, таких как антивирусные решения и брандмауэры.

Startpack подготовил список инструментов для защиты информации, её безопасной передачи и хранения, а также внутрикорпоративного контроля сотрудников. Защиту от зловредов предоставляют известные антивирусные программы, передачу данных — почтовые программы с функциями шифрования, контроль за сотрудниками — сервисы видеонаблюдения через интернет. В раздел вошли также менеджеры паролей, безопасные облачные хранилища конфидента. Инструменты представлены в виде веб-сервисов, приложений. Их можно развернуть в облаке, на сервере или автономном ПК.

Статьи по теме