Danny Palmer Senior Reporter
Danny Palmer är senior reporter på ZDNet. Baserad i London skriver han om frågor som cybersäkerhet, hacking och skadlig programvara.
Fullständig bio den 27 januari 2022 | Ämne: Säkerhet 
En våg av cyberattacker utnyttjar Microsoft Excel-tilläggsfiler för att leverera flera former av skadlig programvara i kampanjer som kan lämna företag sårbara för datastöld, ransomware och annan cyberbrottslighet.
Detaljerad av forskare vid HP Wolf Security, kampanjerna använder skadliga Microsoft Excel-tilläggsfiler (XLL) för att infektera system och det var en nästan sexfaldig ökning – en ökning med 588 % – av attacker med denna teknik under sista kvartalet 2021 jämfört med de tre föregående månaderna.
XLL-tilläggsfiler är populära eftersom de gör det möjligt för användare att distribuera ett brett utbud av extra verktyg och funktioner i Microsoft Excel. Men precis som makron är de ett verktyg som kan utnyttjas av cyberbrottslingar.
Attackerna distribueras via nätfiske-e-postmeddelanden baserade kring betalningsreferenser, fakturor, offerter, fraktdokument och beställningar som kommer med skadliga Excel-dokument med XLL-tilläggsfiler. Att köra den skadliga filen uppmanar användare att installera och aktivera tillägget – som i hemlighet kommer att köra skadlig programvara på offrets dator.
Skadliga programfamiljer som identifierats som levererade i attacker som utnyttjar XLL-filer inkluderar – Dridex, IcedID, BazaLoader, Agent Tesla, Raccoon Stealer, Formbook och Bitrat. Många av dessa former av skadlig programvara kan skapa bakdörrar till komprometterade Windows-system, vilket ger angripare möjlighet att fjärråtkomst till maskiner, övervaka aktivitet och stjäla data.
Forskare varnar också för att bakdörrar med skadlig programvara ger angripare möjlighet att leverera annan skadlig programvara, inklusive ransomware, vilket innebär att XLL-attacker kan utnyttjas som ett sätt att kryptera nätverk och kräva stora lösensummor.
Dessa XLL-attacker är effektiva för att äventyra offer – något som återspeglas i priserna på de som erbjuder tjänster relaterade till dem på underjordiska mörka webbforum.
SE: En vinnande strategi för cybersäkerhet (ZDNet specialrapport)
Några XLL Excel Dropper-tjänster annonseras som att de kostar över 2 000 $, vilket är ganska dyrt för skadlig programvara men kriminella forumanvändare verkar vara villiga att betala priset.
Förutom de XLL-baserade kampanjerna noterar forskare att QakBot, en framträdande form av trojansk skadlig kod, som ofta används som en föregångare till ransomware-attacker, också missbrukar Excel för att äventyra offer.
Angripare kapar e-posttrådar för att leverera skadliga Excel-dokument till sina utvalda offer, som skickas ett ZIP-arkiv som innehåller en Microsoft Excel Binary Workbook (XLSB). Om detta körs laddas QakBot ner till maskinen.
“Att missbruka legitima funktioner i programvara för att gömma sig från upptäcktsverktyg är en vanlig taktik för angripare, liksom att använda ovanliga filtyper som kan tillåtas förbi e-postgateways. Säkerhetsteam måste se till att de inte förlitar sig enbart på upptäckt och att de hänger med. med de senaste hoten och uppdaterar deras försvar i enlighet därmed”, säger Alex Holland, senior malware analytiker på HP Wolf Security.
“Angripare förnyar ständigt för att hitta nya tekniker för att undvika upptäckt, så det är viktigt att företag planerar och anpassar sina försvar utifrån hotbilden och deras användares affärsbehov. Hotaktörer har investerat i tekniker som kapning av e-posttrådar, vilket gör det svårare än någonsin för användare att skilja vän från fiende”, tillade han.
För att undvika att falla offer för strömmen av attacker som missbrukar XLL-filer, rekommenderas det att administratörer konfigurerar e-postgateways för att blockera inkommande .xll-bilagor och endast tillåter att tillägg levereras av betrodda partners – eller till och med inaktivera Excel-tillägg helt.
MER OM CYBERSÄKERHET
Ransomware är fortfarande det största säkerhetsproblemet för företag, men det är inte den enda huvudvärkenHackare vänder på till denna enkla teknik för att installera sin skadliga programvara på datorerDenna smygande skadliga programvara levererar ett “tyst hot” som vill stjäla dina lösenordMicrosoft: Vi slår ner på Excel-makro skadlig kod Ett företag upptäckte ett säkerhetsintrång. Sedan hittade utredarna denna nya mystiska skadliga programvara Security TV | Datahantering | CXO | Datacenter