Agentes mal-intencionados têm explorado suplementos XLL baseados em Excel para enviar iscas de phishing com cargas maliciosas de malware.
O abuso de suplementos da Microsoft por adversários não é um conceito novo e é uma técnica que tem sido usada por agentes de ameaças há anos para executar códigos maliciosos, explicou Dave Storie, engenheiro de colaboração adversária da LARES Consulting. Storie disse que o Microsoft Office Suite tornou-se um mecanismo atraente para os adversários realizarem ataques por causa de sua onipresença em ambientes corporativos e máquinas pessoais, o que permite que os agentes de ameaças obtenham muita quilometragem de seu malware.
“O recente aumento na disseminação de suplementos maliciosos da Microsoft provavelmente se deve ao recente endurecimento das macros implementadas pela Microsoft no Office Suite no ano passado”, disse Storie. “Quando organizações como a Microsoft reduzem a superfície de ataque ou aumentam o esforço necessário para executar um ataque em suas ofertas de produtos, isso força os agentes de ameaças a explorar caminhos alternativos. Isso geralmente leva à exploração de opções previamente conhecidas, talvez menos ideais, para que os agentes de ameaças alcancem seus objetivos”.
Mike Parkin, engenheiro técnico sênior da Vulcan Cyber, acrescentou que os agentes de ameaças sempre encontrarão maneiras criativas de abusar de ferramentas úteis. Nesse caso, Parkin disse que o nível de abuso atingiu o ponto em que a Microsoft incluiu funcionalidades adicionais para tentar impedir que invasores abusem do recurso XLL.
“Isso é bem-vindo, mas também indica a frequência com que agentes mal-intencionados abusam dos recursos do Office Suite”, disse Parkin. “Infelizmente, não está claro neste momento se será apenas um aviso de que os usuários podem clicar facilmente, uma configuração ‘desligada por padrão’ mais proativa ou se eles vão desativá-la totalmente para arquivos XLL baixados do Internet.”
Fonte: https://www.scmagazine.com/
Pesquisadores da Huntress identificaram uma campanha massiva de phishing que usa infraestrutura da Railway e…
A Mazda informou que um acesso externo não autorizado a um sistema ligado à gestão…
A CVE-2026-32746, com CVSS 9.8, afeta o telnetd do GNU InetUtils até a versão 2.7…
A campanha GlassWorm voltou com escala muito maior e já atingiu 433 componentes em GitHub,…
Como o golpe funcionava- O atacante publicou um projeto “parecido com legítimo” no GitHub, usando…
Falha crítica no better-auth permite criar API keys sem autenticação para usuários arbitrários, com risco…