Los días están contados para los piratas informáticos que utilizan las funciones XLL de Excel para entregar malware a los clientes de Microsoft, anunció la compañía.
Los archivos XLL son similares a los archivos DLL y proporcionan al programa una serie de funciones avanzadas, incluidas funciones personalizadas y barras de herramientas.
Los delincuentes han estado utilizando archivos XLL en ataques de phishing, entregando con éxito malware, ladrones de información y posiblemente incluso ransomware en algunas ocasiones.
Un aumento en la popularidad
Ahora, el primer paso de Microsoft es evitar que se ejecuten dichos archivos descargados de Internet:
«Para combatir el creciente número de ataques de malware en los últimos meses, estamos implementando medidas que bloquearán los complementos XLL provenientes de Internet», dijo la compañía en una entrada. (se abre en una pestaña nueva) en su hoja de ruta de Microsoft 365.
Para empezar, el cambio llegará por primera vez a los usuarios de múltiples inquilinos a nivel mundial en marzo de 2023, para los usuarios de escritorio de Microsoft 365 con los canales Actual, Mensual Enterprise y Semi-Annual Enterprise.
Si bien los archivos XLL armados probablemente han existido durante mucho más tiempo, comenzaron a llamar la atención de las personas a principios de 2022, cuando Microsoft decidió evitar que los archivos de Office descargados de Internet ejecutaran macros. Como los actores de amenazas ya no podían usar macros para entregar malware a los puntos finales de destino (se abre en una pestaña nueva)recurrían cada vez más a los archivos XLL.
A principios de 2022, la rama de ciberseguridad de HP, Wolf Security, analizó datos de «los muchos millones de puntos finales» que ejecutan su software en 2021 y descubrió un aumento del 588 % en el uso de complementos de Excel para distribuir malware.
Los investigadores dicen que esta técnica es particularmente peligrosa porque las víctimas solo necesitan un clic para comprometer sus terminales.
Los anuncios de un cuentagotas .xll y un generador de malware también han comenzado a aparecer en los mercados clandestinos, lo que facilita que los atacantes de bajo nivel lancen campañas con consecuencias devastadoras.
Como de costumbre, la mejor manera de protegerse contra tales ataques es tener mucho cuidado al ejecutar cualquier archivo que llegue por correo electrónico o sitios web cuya autenticidad no se pueda confirmar.
Vía: BleepingComputer (se abre en una pestaña nueva)