XLLing в Excel - угрозы, использующие вредоносные надстройки

security IOC

По данным Cisco Talos, субъекты современных постоянных угроз и семейства вредоносных программ используют XLL в качестве вектора заражения, и это число продолжает расти.


С тех пор как Microsoft начала выпускать версии приложений Office, которые по умолчанию блокируют выполнение любых макросов VBA, злоумышленники перешли к использованию надстроек.

С точки зрения типа файла, файлы XLL - это обычные библиотеки динамической загрузки Windows (DLL). Разница между обычной DLL и XLL-файлом заключается в том, что XLL-файлы могут реализовывать определенные экспортируемые функции, которые будут вызываться менеджером надстроек Excel во время некоторых событий, инициированных приложением Excel.

Перед загрузкой XLL-файла Excel выводит предупреждение о возможности включения вредоносного кода. Этот подход аналогичен сообщению о потенциально опасном коде, которое отображается после открытия документа Office, содержащего макрокод VBA.
Файлы XLL могут быть отправлены по электронной почте, и даже при использовании обычных мер сканирования для защиты от вредоносного ПО пользователи могут открыть их, не зная, что они могут содержать вредоносный код.

Indicators of Compromise

IPv4

  • 172.245.120.8

URLs

  • http://172.245.120.8/pdfreader.exe

SHA256

  • 09271afc6f7ac254b4942a14559a0015fb4893d9bb478844ced2f78c0695929e
  • 55228eec31193a900e8216ab245391f1e40feb742d780caa91fdb1000d8434c2
  • 7a234d1a2415834290a3a9c7274aadb7253dcfe24edb10b22f1a4a33fd027a08
  • 90205826eb40d5d4b454c2cfde44abe49f6c3b471681c700e30b45eb5078eee2
  • 9dd2425c1a40b8899b2a4ac0a85b047bede642c5dfd3b5a2a2f066a853b49e2d
  • a5d46912f0767ae30bc169a85c5bcb309d93c3802a2e32e04165fa25740afac1
  • d7c3dd8bc55649b2a77dc921e70f5f208946f64aedfdaabd7b02a247669a73aa
  • d8286133d3d21b7e2b83a6c071147b8ef993e963ad6bdb0f95d665869557a444
  • f2c5327b7bf88c65d0552d8664aca2ac542c8d37ae19582ba56690f1df420b53
  • f5c27b7bdea3861a9414a0dc6b08556ea50423d63297e08eedff69ae9c240cae
  • fdfdfc8878f39424920d469bcd05060a6f7c95794aaa2422941913553d3dd01f
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий