Istraživači kibernetičke sigurnosti upozoravaju da se višestruki oblici zlonamjernog softvera potajno isporučuju putem Microsoft Excel datoteka.
Val sajber napada iskorištava datoteke dodataka Microsoft Excela kako bi isporučio nekoliko oblika zlonamjernog softvera u kampanjama koje bi mogle učiniti kompanije ranjivim na krađu podataka, ransomware i drugi cyber kriminal.
Prema detaljima istraživača iz HP Wolf Security, kampanje koriste zlonamjerne datoteke Microsoft Excel dodataka (XLL) za zarazu sistema i bilo je skoro šestostruko (588%) povećanja napada korištenjem ove tehnike tokom posljednjeg kvartala 2021. prethodna tri mjeseca.
Datoteke dodataka XLL su popularne jer omogućavaju korisnicima da implementiraju širok spektar dodatnih alata i funkcija u Microsoft Excel-u. Ali kao i makroi, oni su alat koji mogu da iskoriste sajber kriminalci.
Napadi se distribuiraju putem phishing e-poruka zasnovanih na referencama plaćanja, fakturama, ponudama, otpremnim dokumentima i narudžbama koje dolaze sa zlonamjernim Excel dokumentima sa XLL datotekama dodataka. Pokretanje zlonamjerne datoteke traži od korisnika da instaliraju i aktiviraju dodatak, koji će tajno pokrenuti zlonamjerni softver na žrtvinoj mašini.
Porodice zlonamjernog softvera identificirane kao isporučene u napadima koji koriste XLL datoteke uključuju Dridex, IcedID, BazaLoader, Agent Tesla, Raccoon Stealer, Formbook i Bitrat. Mnogi od ovih oblika zlonamjernog softvera mogu stvoriti backdoor na kompromitovanim Windows sistemima, pružajući napadačima mogućnost daljinskog pristupa mašinama, nadgledanja aktivnosti i krađe podataka.
Istraživači također upozoravaju da pozadinska vrata zlonamjernog softvera pružaju napadačima mogućnost isporuke drugog zlonamjernog softvera, uključujući ransomware, što znači da bi XLL napadi mogli biti iskorišteni kao sredstvo za šifriranje mreža i zahtijevanje velikih plaćanja otkupnine.
Ovi XLL napadi su efikasni u kompromitovanju žrtava – nešto što se odražava u cijenama onih koji nude usluge povezane s njima na podzemnim dark web forumima.
Za neke XLL Excel Dropper usluge se reklamira da koštaju preko 2.000 dolara, što je prilično skupo za zlonamjerni softver zajednice, ali izgleda da su korisnici kriminalnih foruma spremni platiti cijenu.
Osim kampanja zasnovanih na XLL-u, istraživači primjećuju da QakBot, istaknuti oblik trojanskog zlonamjernog softvera, koji se često koristi kao prekursor napada ransomware-a, također zloupotrebljava Excel kako bi kompromitirao žrtve.
Napadači otimaju niti e-pošte kako bi isporučili zlonamjerne Excel dokumente svojim odabranim žrtvama, kojima se šalje ZIP arhiva koja sadrži Microsoft Excel binarnu radnu knjigu (XLSB). Ako se ovo pokrene, QakBot se preuzima na mašinu.
"Zloupotreba legitimnih funkcija u softveru da bi se sakrili od alata za otkrivanje uobičajena je taktika za napadače, kao i korištenje neobičnih tipova datoteka koje mogu biti dozvoljene mimo prolaza e-pošte. Sigurnosni timovi moraju osigurati da se ne oslanjaju samo na otkrivanje i da drže korak s najnovijim prijetnjama i ažuriranjem njihove odbrane u skladu s tim", rekao je Alex Holland, viši analitičar zlonamjernog softvera u HP Wolf Security.
"Napadači neprestano inoviraju kako bi pronašli nove tehnike za izbjegavanje otkrivanja, tako da je od vitalnog značaja da preduzeća planiraju i prilagode svoju odbranu na osnovu okruženja prijetnji i poslovnih potreba svojih korisnika. Akteri prijetnji su investirali u tehnike poput otmice e-poruka, što je učinilo korisnicima je teže nego ikada da razlikuju prijatelja od neprijatelja", dodao je.
Kako biste izbjegli da postanete žrtvom mnoštva napada koji zloupotrebljavaju XLL datoteke, preporučuje se da administratori konfigurišu pristupnike e-pošte da blokiraju dolazne .xll priloge i da dozvole samo isporuku dodataka od pouzdanih partnera – ili čak potpuno onemoguće Excel dodatke.
IZVOR: ZDNET.COM
Pročitajte više: Microsoft podigao uzbunu zbog nove višefazne phishing kampanje
Pratite nas na Facebook akter.ba
