Agentes mal-intencionados têm explorado suplementos XLL baseados em Excel para enviar iscas de phishing com cargas maliciosas de malware.
O abuso de suplementos da Microsoft por adversários não é um conceito novo e é uma técnica que tem sido usada por agentes de ameaças há anos para executar códigos maliciosos, explicou Dave Storie, engenheiro de colaboração adversária da LARES Consulting. Storie disse que o Microsoft Office Suite tornou-se um mecanismo atraente para os adversários realizarem ataques por causa de sua onipresença em ambientes corporativos e máquinas pessoais, o que permite que os agentes de ameaças obtenham muita quilometragem de seu malware.
“O recente aumento na disseminação de suplementos maliciosos da Microsoft provavelmente se deve ao recente endurecimento das macros implementadas pela Microsoft no Office Suite no ano passado”, disse Storie. “Quando organizações como a Microsoft reduzem a superfície de ataque ou aumentam o esforço necessário para executar um ataque em suas ofertas de produtos, isso força os agentes de ameaças a explorar caminhos alternativos. Isso geralmente leva à exploração de opções previamente conhecidas, talvez menos ideais, para que os agentes de ameaças alcancem seus objetivos”.
Mike Parkin, engenheiro técnico sênior da Vulcan Cyber, acrescentou que os agentes de ameaças sempre encontrarão maneiras criativas de abusar de ferramentas úteis. Nesse caso, Parkin disse que o nível de abuso atingiu o ponto em que a Microsoft incluiu funcionalidades adicionais para tentar impedir que invasores abusem do recurso XLL.
“Isso é bem-vindo, mas também indica a frequência com que agentes mal-intencionados abusam dos recursos do Office Suite”, disse Parkin. “Infelizmente, não está claro neste momento se será apenas um aviso de que os usuários podem clicar facilmente, uma configuração ‘desligada por padrão’ mais proativa ou se eles vão desativá-la totalmente para arquivos XLL baixados do Internet.”
Fonte: https://www.scmagazine.com/
IA está comprimindo a janela entre divulgação e exploração a ponto de ficar negativa. A…
Operação NoVoice espalhou-se por mais de 50 apps do Google Play e explorou falhas antigas…
Grupo Inc reivindica ataque contra a prefeitura de Meriden, Connecticut. A cidade desligou serviços e…
A Alemanha expôs o líder ligado a GandCrab/REvil e reforçou o alerta sobre rebrandings no…
BlueHammer é um zero‑day LPE que explora o Windows Defender e eleva um usuário comum…
Drift Protocol suspendeu depósitos e saques após ataque na Solana. Estimativas apontam perdas entre US$…