Os dias dos hackers que utilizam as funcionalidades XLL do Excel para entregar malware aos clientes da Microsoft estão contados, anunciou a empresa. Os ficheiros XLL são semelhantes aos ficheiros DLL e adicionam uma série de características avançadas ao programa, incluindo funções e barras de ferramentas personalizadas.
Os hackers têm utilizado ficheiros XLL em ataques de phishing. Têm fornecido com sucesso malware, infostealers e, em alguns casos, até mesmo ransomware.
Agora, o primeiro passo da Microsoft é impedir que tais ficheiros descarregados da Internet funcionem: “Para combater o número crescente de ataques de malware nos últimos meses, estamos a implementar medidas que irão bloquear os suplementos XLL da web”, disse a empresa numa entrada no seu roadmap Microsoft 365.
Para começar, a mudança será aplicada pela primeira vez aos utilizadores a nível mundial em Março de 2023, para utilizadores de ambiente de trabalho Microsoft 365 com os canais Current, Monthly Enterprise e Semi-Annual Enterprise.
Embora os ficheiros XLL maliciosos já existam há muito mais tempo, começaram a atrair a atenção no início de 2022, por volta da altura em que a Microsoft decidiu impedir que os ficheiros do Office descarregados da Internet corressem macros. Como os atores da ameaça já não podiam utilizar macros para enviar malware, voltaram-se cada vez mais para os ficheiros XLL.
No início de 2022, o departamento de ciber-segurança da HP Wolf Security analisou dados de “milhões de endpoints” a executar o seu software em 2021 e encontrou um aumento de 588% na utilização de add-ins Excel que distribuiam malware.
Os investigadores dizem que a técnica é particularmente perigosa porque as vítimas só precisam de clicar uma vez para comprometer os seus computadores.
Anúncios para um “dropper” .XLL e um fabricante de malware também apareceram nos mercados próprios, facilitando aos atacantes com menos conhecimento o lançamento de campanhas com consequências devastadoras.
Como sempre, a melhor forma de se proteger contra tais ataques é ser extra cauteloso ao correr ficheiros que chegam através de correio eletrónico ou websites que não podem ser confirmados como autênticos.
Fonte: BleepingComputer
