Es posible que Microsoft haya bloqueado la ejecución de macros de forma predeterminada en su conjunto de programas de Office, pero existen soluciones alternativas, dicen los investigadores.
Varios meses después de que se introdujo la prohibición, una solución específica es ver un aumento en la adopción en la comunidad ciberdelincuente, según un nuevo informe de Cisco Talos.
El equipo afirma que los ciberdelincuentes usan cada vez más archivos XLL (a diferencia de XLS y XLSX) para entregar código malicioso a los puntos finales de destino. (se abre en una pestaña nueva).
Creciendo en popularidad
Los archivos XLL son «un tipo de archivo de biblioteca de vínculos dinámicos (DLL) que solo se puede abrir con Excel», explican los investigadores. En otras palabras, con los archivos XLL, las hojas de cálculo de Microsoft Excel pueden aprovechar la funcionalidad adicional proveniente de aplicaciones de terceros.
Si bien la militarización de los archivos XLL no es nada nuevo (se informó que las primeras muestras datan de 2017), estos archivos rara vez se usaban hasta que Microsoft decidió bloquear la ejecución de macros en archivos descargados de Internet. Ahora, desde 2021, más familias de malware comenzaron a implementar la solución alternativa.
“Durante bastante tiempo después [mid-2017]el uso de archivos XLL es solo esporádico y no aumenta significativamente hasta fines de 2021, cuando las familias de malware de productos básicos como Dridex y Formbook comenzaron a usarlo», señaló en el informe Vanja Svajcer, investigadora de divulgación de Cisco Talos.
«Actualmente, un número significativo de actores de amenazas persistentes avanzados y familias de malware de productos básicos están utilizando XLL como vector de infección y este número continúa creciendo».
Entre los grupos que usan archivos XLL se encuentra el actor de amenazas chino APT10 (AKA Potasio), que lo usó para distribuir Anel Backdoor. Luego está Cicada (también conocido como Stone Panda, TA410), un grupo que supuestamente está «ligado» a APT10, así como a DoNot y Fin7.
Aparentemente, los actores de amenazas han estado usando archivos XLL para entregar varias familias de malware, como Warzone RAT o Ducktail. Se advierte a las empresas que esperen un número cada vez mayor de tales amenazas en el futuro.
Vía: El Registro (se abre en una pestaña nueva)