Les jours sont comptés pour les pirates utilisant les fonctionnalités XLL d’Excel pour fournir des logiciels malveillants aux clients Microsoft, a annoncé la société.
Les fichiers XLL sont similaires aux fichiers DLL et fournissent au programme un certain nombre de fonctionnalités avancées, notamment des fonctions personnalisées et des barres d’outils.
Les escrocs ont utilisé des fichiers XLL dans des attaques de phishing, diffusant avec succès des logiciels malveillants, des voleurs d’informations et peut-être même des rançongiciels à certaines occasions.
Un regain de popularité
Désormais, la première étape de Microsoft consiste à empêcher l’exécution de ces fichiers téléchargés sur Internet :
“Afin de lutter contre le nombre croissant d’attaques de logiciels malveillants ces derniers mois, nous mettons en place des mesures qui bloqueront les compléments XLL provenant d’Internet”, a déclaré la société dans une entrée (s’ouvre dans un nouvel onglet) sur sa feuille de route Microsoft 365.
Pour commencer, le changement touchera d’abord les utilisateurs multi-locataires dans le monde en mars 2023, pour les utilisateurs de bureau Microsoft 365 avec les canaux actuels, mensuels d’entreprise et semestriels d’entreprise.
Bien que les fichiers XLL armés existent probablement depuis bien plus longtemps, ils ont commencé à attirer l’attention des gens au début de 2022, à peu près au moment où Microsoft a décidé d’empêcher les fichiers Office téléchargés sur Internet d’exécuter des macros. Comme les acteurs de la menace ne pouvaient plus utiliser de macros pour diffuser des logiciels malveillants sur la cible points de terminaison (s’ouvre dans un nouvel onglet)ils se tournaient de plus en plus vers les fichiers XLL.
Début 2022, la branche de cybersécurité de HP, Wolf Security, a analysé les données des «plusieurs millions de terminaux» exécutant son logiciel en 2021 et a découvert une augmentation de 588% de l’utilisation des compléments Excel pour distribuer des logiciels malveillants.
Les chercheurs affirment que cette technique est particulièrement dangereuse car les victimes n’ont besoin que d’un seul clic pour compromettre leurs terminaux.
Des publicités pour un compte-gouttes .xll et un constructeur de logiciels malveillants ont également commencé à apparaître sur les marchés clandestins, ce qui permet aux attaquants de bas niveau de lancer facilement des campagnes aux conséquences dévastatrices.
Comme d’habitude, la meilleure façon de se protéger contre de telles attaques est de redoubler de prudence lors de l’exécution de fichiers provenant d’e-mails ou de sites Web dont l’authenticité ne peut être confirmée.
Via: BipOrdinateur (s’ouvre dans un nouvel onglet)