По данным Cisco Talos, субъекты современных постоянных угроз и семейства вредоносных программ используют XLL в качестве вектора заражения, и это число продолжает расти.
С тех пор как Microsoft начала выпускать версии приложений Office, которые по умолчанию блокируют выполнение любых макросов VBA, злоумышленники перешли к использованию надстроек.
С точки зрения типа файла, файлы XLL - это обычные библиотеки динамической загрузки Windows (DLL). Разница между обычной DLL и XLL-файлом заключается в том, что XLL-файлы могут реализовывать определенные экспортируемые функции, которые будут вызываться менеджером надстроек Excel во время некоторых событий, инициированных приложением Excel.
Перед загрузкой XLL-файла Excel выводит предупреждение о возможности включения вредоносного кода. Этот подход аналогичен сообщению о потенциально опасном коде, которое отображается после открытия документа Office, содержащего макрокод VBA.
Файлы XLL могут быть отправлены по электронной почте, и даже при использовании обычных мер сканирования для защиты от вредоносного ПО пользователи могут открыть их, не зная, что они могут содержать вредоносный код.
Indicators of Compromise
IPv4
- 172.245.120.8
URLs
- http://172.245.120.8/pdfreader.exe
SHA256
- 09271afc6f7ac254b4942a14559a0015fb4893d9bb478844ced2f78c0695929e
- 55228eec31193a900e8216ab245391f1e40feb742d780caa91fdb1000d8434c2
- 7a234d1a2415834290a3a9c7274aadb7253dcfe24edb10b22f1a4a33fd027a08
- 90205826eb40d5d4b454c2cfde44abe49f6c3b471681c700e30b45eb5078eee2
- 9dd2425c1a40b8899b2a4ac0a85b047bede642c5dfd3b5a2a2f066a853b49e2d
- a5d46912f0767ae30bc169a85c5bcb309d93c3802a2e32e04165fa25740afac1
- d7c3dd8bc55649b2a77dc921e70f5f208946f64aedfdaabd7b02a247669a73aa
- d8286133d3d21b7e2b83a6c071147b8ef993e963ad6bdb0f95d665869557a444
- f2c5327b7bf88c65d0552d8664aca2ac542c8d37ae19582ba56690f1df420b53
- f5c27b7bdea3861a9414a0dc6b08556ea50423d63297e08eedff69ae9c240cae
- fdfdfc8878f39424920d469bcd05060a6f7c95794aaa2422941913553d3dd01f