Microsoft 正在努力通過包括自動阻止從 Internet 下載的所有此類文件來為 Microsoft 365 客戶添加 XLL 加載項保護。
這將有助於解決在過去幾年中越來越多地濫用這種感染載體的惡意軟件活動。
“為了對抗近幾個月來越來越多的惡意軟件攻擊,我們正在實施一些措施來阻止來自互聯網的 XLL 加載項,”Redmond 說。
Microsoft 表示,這項新功能將於 3 月在全球多租戶中面向當前、每月企業和半年企業頻道的桌面用戶普遍提供。
Excel XLL 文件是動態鏈接庫 (DLL),用於通過提供自定義函數、對話框和工具欄等附加功能來擴展 Microsoft Excel 的功能。
攻擊者在網絡釣魚活動中使用 XLL 加載項以下載鏈接或附件的形式推送各種惡意負載,這些負載偽裝成來自業務合作夥伴等受信任實體的文檔,或者偽裝成虛假廣告請求、節日禮物指南和網站促銷。
一旦目標雙擊未簽名的 XLL 文件打開它,他們將被警告“潛在的安全內容”,“加載項可能包含病毒或其他安全隱患”,並提示啟用加載項 - 在當前會話中。
如果加載項被激活(許多人會忽略 Office 警報而不會再看一眼),它還會在後台在受害者的設備上部署惡意軟件負載。
由於 XLL 文件是可執行文件,攻擊者可以使用它們在您的計算機上運行惡意代碼,因此您只能在 100% 確定它來自可信來源的情況下打開一個文件。
此外,此類文件通常不會作為電子郵件附件發送,而是由 Windows 管理員安裝。 因此,如果您收到推送此類文件的電子郵件或任何其他消息,請刪除該消息並將其報告為垃圾郵件。
正如 Cisco Talos 在 1 月份的一份報告中所說,XLL 現在被經濟動機的攻擊者和國家支持的威脅組織(APT10、FIN7、Donot、TA410)用作感染媒介,將第一階段的有效載荷傳遞到他們的 目標的設備。
“即使 XLL 加載項存在了一段時間,我們也無法檢測到惡意行為者對它們的使用,直到 2017 年年中一些 APT 組織開始使用它們來實施功能齊全的後門,”Cisco Talos 說。
“我們還發現,隨著越來越多的商用惡意軟件系列採用 XLL 作為其感染媒介,它們的使用在過去兩年中顯著增加。”
一年前,惠普的威脅分析師團隊在其 2021 年第 4 季度威脅洞察報告中報告稱,“使用 Excel 加載項 (.XLL) 的攻擊者激增了近六倍”。
這是阻止威脅行為者使用惡意 Office 文檔在目標計算機上交付和安裝惡意軟件的更廣泛努力的一部分。
自 2022 年 7 月起,Microsoft 表示將在下載的 Office 文檔中自動阻止 Office VBA 宏,這使得在多個 Office 應用程序(Access、Excel、PowerPoint、Visio 和 Word)中從 Internet 下載的文檔中啟用它變得更加困難。
2021 年 3 月,該公司通過擴展 Office 365 與反惡意軟件掃描接口 (AMSI) 集成提供的運行時防禦以包括 Excel 4.0 (XLM) 宏掃描,在 M365 中添加了 XLM 宏保護。
Redmond 於 2021 年 1 月開始默認禁用在 Microsoft 365 租戶中打開的 Excel 4.0 (XLM) 宏。
多年前,在 2018 年,Microsoft 還將對 AMSI 的支持擴展到 Office 365 應用程序,以保護客戶免受使用 VBA 宏的攻擊。
如若转载,请注明出处:https://www.ozabc.com/it/534508.html