Угрозы Microsoft Excel могут представлять серьезную проблему безопасности бизнеса
Угрозы Microsoft Excel могут представлять серьезную проблему безопасности бизнеса. Фото: СС0
Согласно новому отчету компании Cisco Talos, через несколько месяцев после введения запрета на запуск макросов, в которых были прописаны сценарии, помогающие заражать целевые компьютеры, в киберпреступном сообществе наблюдается всплеск популярности одного конкретного обходного пути.
Команда утверждает, что киберпреступники все чаще используют файлы XLL (в отличие от XLS и XLSX) для доставки вредоносного кода.
Исследователи объясняют, что файлы XLL представляют собой «тип файла библиотеки динамической компоновки (DLL), который можно открыть только в Excel». Другими словами, с файлами XLL электронные таблицы Microsoft Excel могут использовать дополнительные функции, предоставляемые сторонними приложениями.
Хотя использование файлов XLL в качестве оружия не является чем-то новым (о первых образцах сообщалось еще в 2017 году), эти файлы использовались редко, пока Microsoft не решила заблокировать запуск макросов в файлах, загруженных из Интернета. Теперь, с 2021 года, все больше семейств вредоносных программ начали развертывать альтернативное решение.
Из сообщения исследователя безопасности Вани Свайцера:
«В течение некоторого времени после [середины 2017 года] использование XLL-файлов носило спорадический характер и существенно не увеличивалось до конца 2021 года, когда его начали использовать популярные семейства вредоносных программ, такие как Dridex и Formbook. В настоящее время значительное количество продвинутых постоянных угроз и семейств стандартных вредоносных программ используют XLL в качестве вектора заражения, и это число продолжает расти».
Среди использующих файлы XLL, группа хакеров APT10 (также известная как Potassium), которая использовала обходной путь его для распространения бэкдора Anel. Исследователи также упоминают Cicada (AKA Stone Panda, TA410), группу, которая якобы «слабо связана» с APT10, а также с DoNot и Fin7.
Судя по всему, злоумышленники использовали файлы XLL для доставки различных семейств вредоносных программ, таких как Warzone RAT или Ducktail. Компании предупреждают о том, что в будущем число таких угроз будет увеличиваться.
Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.
Статьи по теме
- GitHub потребует от всех пользователей включить 2FA к концу 2023 года.
- Администрация ресторанной CRM-платформы SevenRooms подтверждает утечку данных.
- Разработчики ExpressVPN доказали безопасность своего программного обеспечения с помощью новых аудитов.
- Хакеры вскрыли портал обмена информацией о киберугрозах ФБР и украли данные пользователей.
Комментариев пока не было