Microsoft, Office program paketinde makroların varsayılan olarak çalışmasını engellemiş olabilir, ancak araştırmacılara göre geçici çözümler var.
Cisco Talos’un yeni bir raporuna göre, yasağın getirilmesinden birkaç ay sonra, belirli bir geçici çözüm, siber suçlu topluluğunda benimsenmede bir artış görüyor.
Ekip, siber suçluların hedef uç noktalara kötü amaçlı kod iletmek için XLL dosyalarını (XLS ve XLSX’in aksine) giderek daha fazla kullandığını iddia ediyor. (yeni sekmede açılır).
Popülaritesi artıyor
Araştırmacılar, XLL dosyalarının “yalnızca Excel tarafından açılabilen bir tür dinamik bağlantı kitaplığı (DLL) dosyası” olduğunu açıklıyor. Başka bir deyişle, XLL dosyalarıyla Microsoft Excel elektronik tabloları, üçüncü taraf uygulamalardan gelen ek işlevlerden yararlanabilir.
XLL dosyalarının silah haline getirilmesi yeni bir şey olmasa da (ilk örneklerin 2017 gibi erken bir tarihte rapor edildiği söylendi), Microsoft internetten indirilen dosyalarda makroların çalışmasını engellemeye karar verene kadar bu dosyalar nadiren kullanıldı. Şimdi, 2021’den beri daha fazla kötü amaçlı yazılım ailesi alternatif çözümü dağıtmaya başladı.
“Bir süre sonra [mid-2017]Cisco Talos sosyal yardım araştırmacısı Vanja Svajcer raporda, XLL dosyalarının kullanımının yalnızca düzensiz olduğunu ve Dridex ve Formbook gibi emtia kötü amaçlı yazılım ailelerinin onu kullanmaya başladığı 2021’in sonuna kadar önemli ölçüde artmadığını belirtti.
“Şu anda önemli sayıda gelişmiş kalıcı tehdit aktörü ve emtia kötü amaçlı yazılım ailesi, XLL’leri bir bulaşma vektörü olarak kullanıyor ve bu sayı artmaya devam ediyor.”
XLL dosyalarını kullanan gruplar arasında, onu Anel Backdoor’u dağıtmak için kullanan Çinli tehdit aktörü APT10 (AKA Potasyum) bulunmaktadır. Sonra APT10’a “gevşek bir şekilde bağlı” olduğu iddia edilen bir grup olan Cicada (AKA Stone Panda, TA410), ayrıca DoNot ve Fin7 var.
Görünüşe göre tehdit aktörleri, Warzone RAT veya Ducktail gibi çeşitli kötü amaçlı yazılım ailelerini dağıtmak için XLL dosyalarını kullanıyor. İşletmeler, gelecekte bu tür tehditlerin artmasını beklemeleri konusunda uyarıldı.
Yolu ile: Kayıt (yeni sekmede açılır)