A Microsoft recentemente bloqueou o uso do Visual Basic for Applications (VBA), ferramenta que ajuda a automatizar e a organizar muitas das suas rotinas e processos em seus aplicativos, fazendo com que os hackers tivessem que se reinventar.
Segundo o The Hackers New, os chamados “agentes de ameaças persistentes avançadas” (APT) e as famílias de malware estão usando cada vez mais arquivos de suplementos do Excel (.XLL) como meios de ingressar no dispositivo.
Leia mais:
- Gêmeos digitais vão revolucionar os testes clínicos
- Além dos charutos: Gangue cubana lucrou mais de US$ 60 milhões com ransomware em 2022
- Mapa mostra que a emissão de poluentes é diferente do imaginado
Como os ataques ocorriam
Arquivos do Office são entregues por e-mail e usados como phishing, além de outros ataques de engenharia social que continuam sendo um dos pontos de entrada amplamente usados por grupos criminosos que procuram executar códigos maliciosos nestes dispositivos.
Assim, para abrir estes documentos é solicitado as vítimas que elas habilitem macros, que é uma regra que pode realizar uma certa sequência de entrada, a fim de visualizar o conteúdo que, aparentemente, é inocente. Ao permitirem, o malware começa a ser executado nos seus dispositivos.
Como forma de resolver o problema, a Microsoft criou um meio de bloquear macros em arquivos do Office anexados a mensagem de e-mails, desde julho de 2022 e assim cortando a origem dos ataques.
Por outro lado, esse bloqueio só protege as novas versões do Access, Excel, PowerPoint, Visio e Word. Assim, os hackers estão testando novas formas de implementar seus malwares.
Novo método
Um destas novas tentativas são os arquivos XLL, que são descritos pela Microsoft como um “tipo de arquivo de biblioteca de vínculo dinâmico (DLL) que só pode ser aberto pelo Excel”.
“Os arquivos XLL podem ser enviados por e-mail e, mesmo com as medidas usuais de varredura anti-malware, os usuários podem abri-los sem saber que podem conter códigos maliciosos”, disse Vanja Svajcer, pesquisadora do Cisco Talos, em uma análise publicada na semana passada.
Os ataques deste formato são usados para distribuir o Agente Tesla e Dridex. Ele foi observado pela Unidade 42 da Palo Alto Networks, e pode ser indicado como uma nova tendência no cenário de ameaças.
“À medida que mais e mais usuários adotam novas versões do Microsoft Office, é provável que os agentes de ameaças se afastem de documentos maliciosos baseados em VBA para outros formatos, como XLLs, ou confiem na exploração de vulnerabilidades recém descobertas para lançar códigos maliciosos no espaço do processo de Aplicativos de escritório”, disse Svajcer.
Já assistiu aos novos vídeos no YouTube do Olhar Digital? Inscreva-se no canal!
Tags: