MKD-CIRT National Centre for Computer Incident Response
Одлуката на Мајкрософт да ги блокира макроата на Visual Basic за апликации (VBA) стандардно за датотеките на Office преземени од интернет, доведе до тоа многу напаѓачи да ги импровизираат нивните синџири за напади во последниве месеци.
Според Cisco Talos, advanced persistent threat (APT) напаѓачите и заедницата на малициозен софтвер сè почесто користат датотеки со додаток на Excel (.XLL) како иницијален вектор на упад.
Заразените документи на Office доставени преку spear phishing мејлови и други social engineering напади останаа една од широко користените влезни точки за криминалните групи кои сакаат да извршат злонамерен код.
Овие документи традиционално ги поттикнуваат жртвите да им овозможат на макроата да гледаат навидум безопасна содржина, само за да го активираат извршувањето на малициозниот софтвер скришум во позадина.
За да се спротивстави на оваа злоупотреба, творецот на Windows донесе клучна промена почнувајќи од јули 2022 година, која ги блокира макроата во Office датотеките прикачени на е-пошта, ефикасно прекинувајќи го клучниот вектор на напад.
Иако оваа блокада се однесува само на новите верзии на Access, Excel, PowerPoint, Visio и Word, напаѓачите експериментираат со алтернативни патишта за инфекција за да распоредат малициозен софтвер.
Произлегува дека еден таков метод се XLL датотеките, кои Microsoft ги опишува како „тип на dynamic link library (DLL) што може да се отвори само од Excel“.
„XLL датотеките може да се испраќаат по е-пошта, па дури и со вообичаените мерки за скенирање против малициозен софтвер, корисниците можеби ќе можат да ги отворат не знаејќи дека можеби содржат злонамерен код“, изјави истражувачот на Cisco Talos, Вања Швајцер во анализата објавена минатата недела.
Компанијата за сајбер безбедност изјави дека напаѓачите користат комбинација од додатоци напишани во C++, како и оние развиени со помош на бесплатна алатка наречена Excel-DNA, феномен што беше сведок на значителен скок од средината на 2021 година и продолжи до оваа година.
Првата јавно документирана злонамерна употреба на XLL се вели дека се случила во 2017 година кога напаѓачот поврзан со Кина APT10 (познат како Stone Panda) ја искористил техниката за да го вметне неговиот backdoor payload во меморијата преку process hollowing.
Злоупотребата на форматот на XLL датотеката за дистрибуција на Agent Tesla и Dridex беше претходно истакната од Palo Alto Networks Unit 42, истакнувајќи дека тоа „може да укаже на нов тренд во светот на заканите“.
„Како што се повеќе корисници ги прифаќаат новите верзии на Microsoft Office, веројатно е дека напаѓачите ќе се оттргнат од злонамерните документи базирани на VBA на други формати како што се XLL или ќе се потпрат на искористување на новооткриените пропусти за лансирање на малициозен код во просторот на процесите на Office апликации“, изјави Швајцер.
Ekipa RAT, покрај инкорпорирањето на XLL Excel додатоците, доби и ажурирање во ноември 2022 година што и овозможува да ги искористи макроата на Microsoft Publisher за да го исфрли тројанецот за далечински пристап и да краде чувствителни информации.
„Исто како и со другите Microsoft office продукти, како Excel или Word, датотеките на Publisher може да содржат макроа што ќе се извршат по отворањето или затворањето [на] датотеката, што ги прави интересни вектори за почетни напад од гледна точка на напаѓачот“, забележа Trustwave.
Вреди да се напомене дека ограничувањата на Мајкрософт да го попречат извршувањето на макроата во датотеките преземени од интернет не се прошируваат на датотеките на Publisher, што ги прави потенцијална закана за напади.
„Ekipa RAT е одличен пример за тоа како напаѓачите континуирано ги менуваат своите техники за да останат пред бранителите“, изјави истражувачот на Trustwave, Wojciech Cieslak.
„Креаторите на овој малициозен софтвер ги следат промените во безбедносната индустрија, како што е блокирањето на макроата од интернет од страна на Мајкрософт, и соодветно на тоа ги менуваат своите тактики“.
Извор: The Hacker News