Rosszindulatú Excel XLL bővítmények
A Talos kutatói ismertették egy viszonylag új támadási módszert a Microsoft Office alkalmazások kihasználására. Amióta a Microsoft megszűntette Visual Basic for Applications (VBA) támogatását, a fenyegetési szereplők egyre inkább a XLL fájlokat kezdték el használni a támadások során, ami könnyen továbbítható e-mailben és az Excel alapértelmezettként megnyitja.
Még a szokásos kártevő-ellenőrző intézkedésekkel is előfordulhat, hogy a felhasználók képesek megnyitni azokat anélkül, hogy tudnák, hogy rosszindulatú kódot tartalmazhatnak. A kód automatikus elindítása érdekében az Office-dokumentumokat használó rosszindulatú szereplők egy vagy több eseménykezelési funkciót hajtanak végre, például az AutoOpen, AutoClose, Document_Open és Document_Close for Word vagy Worbook_Open, Workbook_Close, Auto_Open, Auto_Close for Excel alkalmazást. Ezeket a funkciókat akkor hívják meg, amikor egy dokumentumot megnyitnak, bezárnak, vagy amikor az Office alkalmazás elindít egy eseményt, amelyet az egyik megvalósított függvény kezel. Az automatikus indítási funkciók segítségével a támadók elindíthatják rosszindulatú makrókódjukat.
A Talos kutató szerint a VirusTotalon végzett keresésük kimutatta, hogy a rosszindulatú szereplők ismerték az XLL fájlok létezését, és már azelőtt használták őket, hogy a Microsoft úgy döntött volna, hogy blokkolja a VBA-makrókat tartalmazó dokumentuokat.
A kutatók kiterjesztett keresést végeztek XLL-minták után, hogy egy idővonalat hozzanak létre, hogy megtudják, pontosan mikor kezdtek megjelenni az első rosszindulatú XLL-ek, valamint hogy megértsék, mely csoportok és rosszindulatú programcsaládok használták őket. Arra jutottak, hogy állami támogatású szereplők már 2017-től alkalmazzák, de 2021-ben jelentősen megnövekedett ezek használata. Ilyen csoportok a Kínához kötött APT10 (menuPass, Chessmaster, Potassium) és a TA410, az Orosz Föderációhoz kötött FIN7 is.
A Talos kutatói megosztották az azonosításhoz szükséges mutatókat (IoC).