Cómo protegerse contra la amenaza de seguridad .XLL
Los archivos de Microsoft Office, especialmente los archivos de Excel y Word, han sido objeto de ataques por parte de ciberdelincuentes durante mucho tiempo. A través de diferentes técnicas, los atacantes han utilizado macros incrustadas de Visual Basic for Applications (VBA) para infectar computadoras con diferentes tipos de malware con fines cibernéticos y de espionaje.
En la mayoría de los casos, los usuarios aún debían hacer clic para aceptar la ejecución del código dentro de esas aplicaciones, pero algunos trucos de ingeniería social han logrado engañar a víctimas desprevenidas para que hagan clic y permitan la ejecución de las macros maliciosas. También es posible lanzar malware a través de la explotación directa de vulnerabilidades sin ninguna interacción del usuario.
Ir a:
- Explotación maliciosa de archivos .XLL en la naturaleza
- ¿Qué actores de amenazas explotan archivos .XLL?
- Cambios en el comportamiento predeterminado de Microsoft Office para mejorar la seguridad
- Cómo protegerse contra esta amenaza de seguridad de archivos .XLL
Explotación maliciosa de archivos .XLL en la naturaleza
Según revela una nueva investigación de Cisco Talos, los actores de amenazas podrían aprovechar las funciones de manejo de eventos en archivos de Excel para lanzar automáticamente archivos .XLL. El método más común para lograr esto es ejecutar el código malicioso cuando el administrador de complementos de Excel llama a las funciones xlAutoOpen o xlAutoClose.
Los investigadores de Cisco Talos han utilizado consultas específicas en VirusTotal para encontrar archivos .XLL maliciosos y proporcionar reglas YARA para buscar dichos archivos. Separaron las muestras nativas de .XLL construidas con el SDK de .XLL habitual de Microsoft y las muestras generadas con el framework ExcelDNA, ya que es gratuito y suele ser el más utilizado por los actores de amenazas (Figura A).
Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivelFigura A
Los gráficos anteriores revelan que los actores de amenazas han estado aprovechando vulnerabilidades en archivos .XLL mucho antes de que Microsoft comenzara a bloquear documentos que contienen macros de VBA.
Los investigadores de Cisco Talos determinaron que no se presentaron muestras potencialmente maliciosas hasta julio de 2017. La primera carga útil de .XLL encontrada en la plataforma VirusTotal ejecutaba calc.exe, que es un método de prueba habitual para probadores de penetración y ciberdelincuentes. La segunda muestra, enviada el mismo mes, lanzaba un shell inverso Meterpreter, que puede usarse para pruebas de penetración o intenciones maliciosas.
Después de esa actividad, los archivos .XLL aparecieron esporádicamente, pero no aumentaron hasta finales de 2021, cuando familias de malware infames como Dridex y FormBook comenzaron a utilizarlo.
¿Qué actores de amenazas explotan archivos .XLL?
Varios actores de amenazas están utilizando archivos .XLL para infectar computadoras.
Cómo proteger tu computadora de los virus: métodos y consejosAPT10, también conocido como Red Apollo, menuPass, Stone Panda o Potassium, es un actor de amenazas de ciberespionaje que ha estado operando desde 2006 y se asocia con el Ministerio de Seguridad del Estado de China, según el Departamento de Justicia.
En diciembre de 2017, los investigadores encontraron un archivo que aprovecha .XLL para inyectar un malware exclusivo de APT10 llamado Anel.
TA410 es otro actor de amenazas que ataca a servicios públicos y organizaciones diplomáticas de Estados Unidos y está relacionado indirectamente con APT10. Utilizan un conjunto de herramientas que incluye una etapa .XLL descubierta en 2020.
El equipo DoNot, que tiene como objetivo organizaciones sin fines de lucro en Cachemira y funcionarios gubernamentales de Pakistán, también parece utilizar este método: un archivo .XLL que contiene dos exportaciones, una llamada pdteong y la segunda xlAutoOpen, lo convierte en una carga útil .XLL totalmente funcional. El nombre de exportación pdteong ha sido utilizado exclusivamente por el equipo DoNot.
FIN7 es un actor de amenazas cibernéticas que opera desde Rusia. En 2022, el actor comenzó a utilizar archivos .XLL que se envían como archivos adjuntos en campañas de correo electrónico maliciosas. Cuando se ejecutan estos archivos, actúan como descargadores para la siguiente etapa de infección.
El aumento significativo en las detecciones de archivos .XLL en VirusTotal proviene principalmente de campañas de malware Dridex. Estos archivos .XLL se utilizan como descargadores para la siguiente etapa de infección, que se elige de una larga lista de posibles cargas útiles accesibles a través de la aplicación de software Discord.
¡Defiéndete! Protege tu seguridad en línea contra amenazas críticasLa segunda carga útil más común es FormBook, un ladrón de información disponible como servicio a un precio económico en línea. Utiliza campañas de correo electrónico para propagar el descargador .XLL, que obtiene la siguiente etapa de infección: el propio malware FormBook.
Una campaña reciente de AgentTesla y Lokibot dirigida a Hungría aprovechó archivos .XLL a través de correo electrónico. El correo electrónico pretendía provenir de departamentos de policía húngaros (Figura B).
Figura B
El texto ha sido traducido por Cisco Talos:
"Somos el Departamento de Policía del Distrito VII de Budapest.
Protege tus contraseñas con PAM: Tu aliado para la seguridadHemos oído hablar de la excelencia de su empresa. Nuestro centro necesita su presupuesto para nuestro presupuesto de 2022 (adjunto). El presupuesto está cofinanciado por el Ministerio del Interior de nuestro gobierno húngaro. Por favor, envíe su oferta antes del 25 de agosto de 2022. Encuentre el adjunto y avísenos si necesita más información".
Además, el malware Ducktail, un malware ladrón de información operado por un actor de amenazas que opera desde Vietnam, utiliza archivos .XLL. El actor de amenazas utilizó un archivo llamado "Detalles del plan de marketing del proyecto e informe de resultados de Facebook Google Ads.xll" para infectar a sus objetivos con el malware Ducktail.
Cambios en el comportamiento predeterminado de Microsoft Office para mejorar la seguridad
Para ayudar a combatir las infecciones mediante el uso de macros de VBA, Microsoft decidió cambiar el comportamiento predeterminado de sus productos de Office para bloquear las macros en archivos descargados de internet.
Los complementos de Office son fragmentos de código ejecutable que se pueden agregar a las aplicaciones de Office para mejorar funcionalidades o mejorar la apariencia de la aplicación. Los complementos de Office pueden contener código de VBA o módulos que incrustan funcionalidades compiladas en bytecode de .NET. Esto puede ser en forma de servidores COM o una biblioteca de enlace dinámico (DLL) renombrada con una extensión de archivo específica.
Los complementos para la aplicación Microsoft Word deben estar ubicados en una carpeta especificada por un valor de registro, dependiendo de la versión de Office. Un archivo colocado en esa carpeta con una extensión de archivo .WLL se cargará en el espacio de proceso de Word.
Para Microsoft Excel, cualquier archivo con la extensión .XLL que sea seleccionado por el usuario intentará ejecutar automáticamente Excel como el programa de apertura para el archivo .XLL. En cualquier caso, el software de Excel mostrará un mensaje de advertencia sobre posibles problemas de malware o seguridad, pero esto es ineficaz con los usuarios generales, que tienden a ignorar tales advertencias.
Cómo configurar un servidor VPN para hacer conexiones a través de firewallsLos complementos .XLL generalmente se desarrollan en lenguaje de programación C/C++ utilizando el Kit de desarrollo de software .XLL de Microsoft Excel, pero algunos frameworks como Add-In Express y Excel-DNA permiten el uso de lenguajes .NET como C# o VB.NET.
Cómo protegerse contra la amenaza de seguridad de archivos .XLL
El uso de archivos .XLL no es generalizado en entornos corporativos; las empresas que no lo necesiten deben bloquear cualquier intento de ejecutar archivos .XLL en su entorno. Si su empresa permite el uso de archivos .XLL, se debe monitorear cuidadosamente la actividad sospechosa en los puntos finales y los servidores para detectarla y investigarla.
Las pasarelas de correo electrónico no deben aceptar archivos .XLL de forma predeterminada y se debe concienciar a los usuarios corporativos al respecto. Si ven un mensaje de advertencia de Excel sobre la ejecución de complementos y no saben por qué ocurre, no deben permitir la ejecución y deben llamar a su departamento de IT/seguridad.
Esta política de concienciación y capacitación de seguridad y las plantillas de alerta de seguridad por correo electrónico de IT de Newsmatic Premium son recursos excelentes para ayudar a prevenir un desastre de ciberseguridad.
Divulgación: Trabajo para Trend Micro, pero las opiniones expresadas en este artículo son mías.
¡Alerta! Un nuevo gusano de Linux está propagándoseEn Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Cómo protegerse contra la amenaza de seguridad .XLL , tenemos lo ultimo en tecnología 2023.
Artículos Relacionados