Cyberattacks via Excel add-ins jump nearly 600%
By Jeff Drew
February 1, 2022
یک گزارش جدید از کاربران مایکروسافت اکسل می خواهد تا برای محافظت از خود در برابر افزایش چشمگیر حملات سایبری با استفاده از فایل های افزودنی مخرب اقدام کنند.
HP Wolf Security در گزارش Threat Insights خود برای سه ماهه چهارم سال 2021 اعلام کرد حملات با استفاده از افزونههای Excel (.XLL) برای آلوده کردن سیستمها و شبکههای رایانهای به بدافزارها نسبت به سه ماهه افزایش 588 درصدی داشته است.
در کمپینهایی که HP Wolf Security تجزیه و تحلیل کرد، کاربران ایمیلهایی با پیوستها یا پیوندهای مخرب XLL دریافت کردند. با دوبار کلیک کردن روی پیوست یا پیوند، اکسل باز می شود، که سپس از کاربر می خواهد افزونه را نصب و فعال کند. اکثر حملات شامل کد مخرب در تابع xlAutoOpen است که بلافاصله پس از فعال شدن افزونه اجرا می شود. این حالت حمله به ویژه خطرناک است زیرا برای فعال کردن بدافزار تنها با یک کلیک نیاز دارد، برخلاف حملات ویژوال بیسیک که کاربر را ملزم به خروج از نمای محافظت شده اکسل و فعال کردن ماکروها می کند.
گزارش Threat Insights سه مرحلهای را به سازمانها برای محافظت از خود در برابر حملات XLL را توصیه میکند:
- دروازه[1] ایمیل آنها را برای مسدود کردن ایمیل های ورودی که دارای پیوست های .XLL هستند، پیکربندی کنید. برخی از دروازههای ایمیل قبلاً این کار را انجام میدهند زیرا فایلهای .XLL کتابخانههای پیوند پویا (DLL) هستند، نوعی فایل که اغلب از طریق ایمیل ارسال نمیشود.
- اکسل را به گونه ای پیکربندی کنید که فقط افزونه های ناشران قابل اعتماد مجاز باشد.
- اکسل را برای غیرفعال کردن تمام افزونه های اختصاصی پیکربندی کنید.
HP Wolf Security هفت خانواده بدافزار را شناسایی کرد که از طریق افزونههای مخرب اکسل ارائه میشوند. انواع بدافزارهای شناسایی شده Agent Tesla، BazaLoader، Bitrat، Dridex، Formbook، IcedID و Raccoon Stealer بودند. تبلیغاتی که این بدافزارها را تبلیغ میکردند در انجمنهای زیرزمینی با قیمتهای 2100 دلار پیدا شد. یکی از پستهای انجمن، که در گزارش نشان داده شده است، یک “XLL Excel Dropper” را نشان میدهد که به کاربران اجازه میدهد یک فایل اجرایی یا پیوندی به بدافزار و یک سند فریبنده را مشخص کنند تا گیرندگان پس از باز کردن افزونه را فریب دهند. این ابزار یک فایل .XLL مخرب تولید می کند که می تواند در حملات استفاده شود.
گزارش میگوید در حالی که سازمانها باید از تهدید .XLL آگاه باشند، هنوز مشخص نیست که آیا این ناقل حمله از حملات اکسل که بدافزار را از طریق ماکروهای Excel4، تبادل دادههای پویا (DDE) و ویژوال بیسیک ارائه میدهند، رایجتر میشود یا خیر.
[1] gateway