Microsoft quer impedir malware por meio de add-ins XLL do Excel

Da Redação
23/01/2023

A Microsoft está trabalhando para adicionar proteção add-in XLL para clientes do Microsoft 365, incluindo o bloqueio automatizado de todos esses arquivos baixados da internet. Segundo a empresa, isso ajudará a combater o aumento de campanhas de malware que exploram esse vetor de infecção em uma extensão cada vez maior durante os últimos anos.

“Para combater o crescente número de ataques de malware nos últimos meses, estamos implementando medidas que bloquearão suplementos XLL provenientes da Internet”, disse a empresa de Redmond, que adiantou que o novo recurso estará disponível em todo o mundo em março para usuários de desktops nos canais Current, Monthly Enterprise e Semi-Annual Enterprise.

Arquivos Excel XLL são bibliotecas de vínculo dinâmico (DLLs) usadas para estender a funcionalidade do Excel fornecendo recursos adicionais, como funções personalizadas, caixas de diálogo e barras de ferramentas.

Os invasores estão usando add-ins XLL em campanhas de phishing para enviar várias cargas maliciosas na forma de links de download ou anexos camuflados como documentos de entidades confiáveis, como parceiros de negócios ou como solicitações de publicidade falsas, guias de presentes de fim de ano e promoções de sites.

Depois que o alvo clicar duas vezes em um arquivo XLL não assinado para abri-lo, ele será avisado sobre “um possível conteúdo de segurança”, que “os add-ins podem conter vírus ou outros riscos à segurança” e solicitado a ativar o suplemento para o sessão atual.

Se o add-in estiver ativado — e muitas pessoas ignoram os alertas do Office sem dar uma segunda olhada —, ele também implantará uma carga útil de malware no dispositivo da vítima em segundo plano. Como os arquivos XLL são executáveis, os invasores podem usá-los para executar códigos maliciosos no computador, portanto o usuário só deve abrir um se tiver 100% de certeza de que vem de uma fonte confiável.

Além disso, esses arquivos geralmente não são enviados como anexos de e-mail, mas sim instalados por um administrador do Windows. Portanto, se o usuário receber um e-mail ou qualquer outra mensagem “empurrando” esses arquivos, exclua a mensagem e denuncie-a como spam.

Relatório divulgado em janeiro pela Cisco Talos diz que os XLLs agora são usados por invasores com motivação financeira e por grupos de ameaças apoiados por governos —APT10, FIN7, Donot, TA410 — como um vetor de infecção para fornecer cargas úteis de primeiro estágio nos dispositivos de seus alvos. “Mesmo que os add-ins XLL existissem por algum tempo, não conseguimos detectar seu uso por hackers até meados de 2017, quando alguns grupos APT começaram a usá-los para implantar backdoor totalmente funcional”, disse a Cisco Talos. “Também identificamos que seu uso aumentou significativamente nos últimos dois anos, à medida que mais famílias de malware commodities adotaram XLLs como vetor de infecção.”

Veja isso
Arquivos do Excel usados de novo em campanha do Emotet
Microsoft desvenda métodos de ransomware que visam o MacOS

Há um ano, a equipe de analistas de ameaças da HP relatou ter visto um “aumento de quase seis vezes nas invasões usando add-ins do Excel (.XLL)” como parte de seu relatório “Threat Insights Q4 2021”.

Desde julho do ano passado, a Microsoft disse que as macros VBA do Office seriam bloqueadas automaticamente em documentos baixados do Office para dificultar a ativação em documentos baixados da internet em vários aplicativos do Office — Access, Excel, PowerPoint, Visio e Word.

Em março de 2021, a empresa adicionou proteção de macro XLM no M365, expandindo a defesa de tempo de execução fornecida pela integração do Office 365 com Antimalware Scan Interface (AMSI) para incluir a verificação de macro do Excel 4.0 (XLM). A Microsoft começou a desabilitar as macros do Excel 4.0 (XLM) por padrão quando abertas por usuários do Microsoft 365 em janeiro do mesmo ano. Com agências de notícias internacionais e informações da Microsoft.

Compartilhar: