Danny Palmer Senior Reporter
Danny Palmer er seniorreporter hos ZDNet. Baseret i London skriver han om problemer, herunder cybersikkerhed, hacking og malware-trusler.
Fuld bio den 27. januar 2022 | Emne: Sikkerhed 
En bølge af cyberangreb udnytter Microsoft Excel-tilføjelsesfiler til at levere flere former for malware i kampagner, som kan efterlade virksomheder sårbare over for datatyveri, ransomware og anden cyberkriminalitet.
Detaljeret af forskere hos HP Wolf Security bruger kampagnerne ondsindede Microsoft Excel-tilføjelsesfiler (XLL) til at inficere systemer, og der var en næsten seksdobling – en stigning på 588 % – i angreb ved hjælp af denne teknik i sidste kvartal af 2021 sammenlignet med de foregående tre måneder.
XLL-tilføjelsesfiler er populære, fordi de giver brugerne mulighed for at implementere en lang række ekstra værktøjer og funktioner i Microsoft Excel. Men ligesom makroer er de et værktøj, der kan udnyttes af cyberkriminelle.
Angrebene distribueres via phishing-e-mails baseret omkring betalingsreferencer, fakturaer, tilbud, forsendelsesdokumenter og ordrer, som kommer med ondsindede Excel-dokumenter med XLL-tilføjelsesfiler. Kørsel af den ondsindede fil beder brugerne om at installere og aktivere tilføjelsen – som i al hemmelighed vil køre malwaren på ofrets maskine.
Malware-familier identificeret som værende leveret i angreb, der udnytter XLL-filer, omfatter – Dridex, IcedID, BazaLoader, Agent Tesla, Raccoon Stealer, Formbook og Bitrat. Mange af disse former for malware kan skabe bagdøre til kompromitterede Windows-systemer, hvilket giver angribere mulighed for at få fjernadgang til maskiner, overvåge aktivitet og stjæle data.
Forskere advarer også om, at malware-bagdøre giver angribere mulighed for at levere anden malware, inklusive ransomware, hvilket betyder, at XLL-angrebene kan udnyttes som et middel til at kryptere netværk og kræve store løsepengebetalinger.
Disse XLL-angreb er effektive til at kompromittere ofre – noget, der afspejles i priserne på dem, der tilbyder tjenester relateret til dem på underjordiske mørke web-fora.
SE: En vindende strategi for cybersikkerhed (ZDNet-særrapport)
Nogle XLL Excel Dropper-tjenester annonceres for at koste over $2.000, hvilket er ret dyrt for community-malware, men kriminelle forumbrugere ser ud til at være villige til at betale prisen.
Ud over de XLL-baserede kampagner bemærker forskere, at QakBot, en fremtrædende form for trojansk malware, der ofte bruges som en forløber for ransomware-angreb, også misbruger Excel til at kompromittere ofre.
Angribere kaprer e-mail-tråde for at levere ondsindede Excel-dokumenter til deres udvalgte ofre, som får tilsendt et ZIP-arkiv, der indeholder en Microsoft Excel Binary Workbook (XLSB). Hvis dette køres, downloades QakBot til maskinen.
“At misbruge legitime funktioner i software til at skjule sig fra detektionsværktøjer er en almindelig taktik for angribere, ligesom det er at bruge ualmindelige filtyper, der kan tillades forbi e-mail-gateways. Sikkerhedsteams skal sikre, at de ikke er afhængige af detektion alene, og at de følger med. med de seneste trusler og opdatere deres forsvar i overensstemmelse hermed,” sagde Alex Holland, senior malware-analytiker hos HP Wolf Security.
“Angribere fornyer sig konstant for at finde nye teknikker til at undgå opdagelse, så det er afgørende, at virksomheder planlægger og justerer deres forsvar baseret på trusselslandskabet og deres brugeres forretningsbehov. Trusselsaktører har investeret i teknikker som e-mail-trådkapring, hvilket gør det sværere end nogensinde for brugere at fortælle ven fra fjende,” tilføjede han.
For at undgå at blive ofre for bølgen af angreb, der misbruger XLL-filer, anbefales det, at administratorer konfigurerer e-mail-gateways til at blokere indgående .xll-vedhæftede filer og kun tillader tilføjelsesprogrammer at blive leveret af betroede partnere – eller endda deaktiver Excel-tilføjelsesprogrammer helt.
MERE OM CYBERSIKKERHED
Ransomware er stadig den største sikkerhedsproblem for virksomheder, men det er ikke den eneste hovedpineHackere vender til denne enkle teknik til at installere deres malware på pc'erDenne snigende malware leverer en 'stille trussel', der ønsker at stjæle dine adgangskoderMicrosoft: Vi slår ned på Excel makro malware En virksomhed opdagede et sikkerhedsbrud. Derefter fandt efterforskere denne nye mystiske malware Security TV | Datastyring | CXO | Datacentre