Microsoft planea acabar con la entrega de malware a través de complementos Excel

Microsoft está trabajando para agregar la protección del complemento XLL para los clientes de Microsoft 365 al incluir el bloqueo automático de todos los archivos descargados de Internet.

Esto ayudará a abordar el aumento de las campañas de malware que abusan de este vector de infección en un grado cada vez mayor durante los últimos años.

"Para combatir el creciente número de ataques de malware en los últimos meses, estamos implementando medidas que bloquearán los complementos XLL provenientes de Internet", dice Redmond .

Microsoft dice que la nueva función estará disponible para usuarios múltiples en todo el mundo en marzo para usuarios de escritorio en los canales empresarial actual, mensual y semestral.

Los archivos XLL de Excel son bibliotecas de vínculos dinámicos (DLL) que se utilizan para ampliar la funcionalidad de Microsoft Excel al proporcionar funciones adicionales, como funciones personalizadas, cuadros de diálogo y barras de herramientas.

Los atacantes están utilizando complementos XLL en campañas de phishing para impulsar varias cargas maliciosas en forma de enlaces de descarga o archivos adjuntos camuflados como documentos de entidades confiables, como socios comerciales, o como solicitudes de publicidad falsas, guías de regalos navideños y promociones de sitios web.

Una vez que el objetivo haga doble clic en un archivo XLL sin firmar para abrirlo, se le advertirá de "un posible contenido de seguridad", que "los complementos pueden contener virus u otros riesgos de seguridad" y se le pedirá que habilite el complemento para el sesión actual.

Si el complemento está activado (y muchas personas ignoran las alertas de Office sin mirarlas dos veces), también implementará una carga útil de malware en el dispositivo de la víctima en segundo plano.

Como los archivos XLL son ejecutables y los atacantes pueden usarlos para ejecutar código malicioso en su computadora, solo debe abrir uno si está 100% seguro de que proviene de una fuente confiable.

Además, dichos archivos generalmente no se envían como archivos adjuntos de correo electrónico, sino que los instala un administrador de Windows. Por lo tanto, si recibe un correo electrónico o cualquier otro mensaje que incluya dichos archivos, elimínelo y repórtelo como correo no deseado.


Como dijo Cisco Talos en un informe de enero, los XLL ahora son utilizados tanto por atacantes motivados financieramente como por grupos de amenazas respaldados por el estado ( APT10 , FIN7 , Donot , TA410 ) como un vector de infección para entregar cargas útiles de primera etapa en los dispositivos de sus objetivos. .

"Incluso si los complementos XLL existieron durante algún tiempo, no pudimos detectar su uso por parte de actores maliciosos hasta mediados de 2017, cuando algunos grupos de APT comenzaron a usarlos para implementar una puerta trasera completamente funcional", dijo Cisco Talos.

"También identificamos que su uso aumentó significativamente en los últimos dos años a medida que más familias de malware básico adoptaron XLL como su vector de infección".

Hace un año, el equipo de analistas de amenazas de HP informó haber visto un "aumento de casi seis veces en los atacantes que utilizan complementos de Excel (.XLL)" como parte de su informe Threat Insights Report Q4 2021.


Esto es parte de un esfuerzo más amplio para evitar que los actores de amenazas usen documentos maliciosos de Office para entregar e instalar malware en las computadoras de sus objetivos.

Desde julio de 2022, Microsoft dijo que las macros de Office VBA se bloquearían automáticamente en los documentos de Office descargados, lo que dificultaría su activación en los documentos descargados de Internet en varias aplicaciones de Office (Access, Excel, PowerPoint, Visio y Word).

En marzo de 2021, la empresa agregó la protección de macros XLM en M365 al expandir la defensa en tiempo de ejecución proporcionada por la integración de Office 365 con la interfaz de análisis antimalware (AMSI) para incluir el análisis de macros de Excel 4.0 (XLM).

Redmond comenzó a deshabilitar las macros de Excel 4.0 (XLM) de forma predeterminada cuando se abrieron en los inquilinos de Microsoft 365 en enero de 2021.

Años antes, en 2018 , Microsoft también amplió el soporte de AMSI a las aplicaciones de Office 365 para defender a los clientes de los ataques mediante macros de VBA.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta