Resumen:
Los archivos de complementos de Excel (.XLL) están siendo utilizados como vector inicial de intrusión.
Desde finales de julio, Microsoft tomó la decisión de bloquear las macros de Visual Basic para Aplicaciones (VBA) por defecto en los archivos de Office descargados desde Internet.
Dicha decisión ha llevado a muchos actores de la amenaza a improvisar cadenas de ataque con los archivos XXL.
Según los analistas de Cisco Talos, tanto los actores de amenazas persistentes avanzadas (APT) como las familias de malware recurren cada vez más a dichos archivos para ejecutar código malicioso.
Los archivos XLL son un tipo específico de archivo de biblioteca de vínculos dinámicos (DLL) al que únicamente se tiene acceso desde Excel.
Además, de acuerdo con Microsoft, estos pueden lanzarse a través del correo electrónico para evadir las medidas de análisis antimalware, de modo que los usuarios no se den cuenta de que han sido infectados con código malicioso.
Si bien, en julio Microsoft lanzó una serie de medidas de seguridad que bloquean las macros en los archivos con el objetivo de cortar por completo el vector de ataque, el bloqueo solo se aplica a las nuevas versiones de Access, Excel, PowerPoint, Visio y Word.
Esto ha motivado a los ciberdelincuentes a experimentar con rutas de infección alternativas para desplegar el malware.
Uno de los métodos más populares, utiliza un tipo de archivo de biblioteca de vínculos dinámicos (DLL).
El ataque emplea una combinación de complementos nativos escritos en C++ y complementos desarrollados con una herramienta gratuita mejor conocida como Excel-DNA.
El formato de ataque ha sido empleado para distribuir Agent Tesla y Dridex, que según los investigadores de la Unidad 42 de Palo Alto Networks es una nueva tendencia de diversos grupos APT.
Es preciso destacar que, los complementos XLL de Excel, también han sido utilizados para lanzar troyanos de acceso remoto y robar información confidencial de sus víctimas.
Un gran ejemplo de esto es el troyano de acceso remoto Ekipa, cuyos desarrolladores han adoptado esta vía de ataque para adelantarse a una posible mitigación que impida la explotación del problema.
En conclusión, los actores de la amenaza continúan hallando nuevos métodos de explotación con el objetivo de vulnerar constantemente a nuevas víctimas.
Por ello, es necesario que todos los usuarios se mantengan al día, para estar al tanto de las últimas tendencias en el panorama actual de la ciberdelincuencia y proteger sus sistemas.
Una vez dicho esto, se le insta a todos los administradores a descargar los últimos parches en sus dispositivos, así como a estar al pendiente de cualquier correo electrónico, llamada o mensaje que pueda provenir de una fuente sospechosa.
Recomendaciones:
Prácticas básicas para mitigar cualquier ataque de ciberseguridad
Mantener los dispositivos actualizados
Instalar los últimos parches disponibles
Activar la autenticación multifactor
Activar las reglas de firewall
Guardar copias de seguridad
Referencias:
https://informationsecuritybuzz.com/excel-add-ins-emerge-new-attack-vector-apt-hackers/
https://thehackernews.com/2022/12/apt-hackers-turn-to-malicious-excel-add.html
SÍGUENOS