Microsoft a peut-être bloqué l’exécution par défaut des macros dans sa suite de programmes Office, mais il existe des solutions de contournement, selon les chercheurs.
Plusieurs mois après l’introduction de l’interdiction, une solution de contournement spécifique voit une augmentation de l’adoption dans la communauté cybercriminelle, selon un nouveau rapport de Cisco Talos.
L’équipe affirme que les cybercriminels utilisent de plus en plus les fichiers XLL (par opposition à XLS et XLSX) pour fournir du code malveillant aux terminaux cibles. (s’ouvre dans un nouvel onglet).
De plus en plus populaire
Les fichiers XLL sont “un type de fichier de bibliothèque de liens dynamiques (DLL) qui ne peut être ouvert que par Excel”, expliquent les chercheurs. En d’autres termes, avec les fichiers XLL, les feuilles de calcul Microsoft Excel peuvent tirer parti de fonctionnalités supplémentaires provenant d’applications tierces.
Bien que la militarisation des fichiers XLL n’ait rien de nouveau (les premiers échantillons ont été signalés dès 2017, a-t-on dit), ces fichiers étaient rarement utilisés jusqu’à ce que Microsoft décide de bloquer l’exécution des macros dans les fichiers téléchargés sur Internet. Maintenant, depuis 2021, davantage de familles de logiciels malveillants ont commencé à déployer la solution alternative.
“Pendant un certain temps après [mid-2017]l’utilisation des fichiers XLL n’est que sporadique et n’augmente pas de manière significative jusqu’à la fin de 2021, lorsque des familles de logiciels malveillants de base telles que Dridex et Formbook ont commencé à les utiliser », a noté Vanja Svajcer, chercheuse en sensibilisation pour Cisco Talos dans le rapport.
“Actuellement, un nombre important d’acteurs de menaces persistantes avancées et de familles de logiciels malveillants utilisent les XLL comme vecteur d’infection et ce nombre continue d’augmenter.”
Parmi les groupes utilisant des fichiers XLL figurent l’acteur menaçant chinois APT10 (AKA Potassium), qui l’a utilisé pour distribuer Anel Backdoor. Ensuite, il y a Cicada (AKA Stone Panda, TA410), un groupe qui serait « vaguement lié » à APT10, ainsi qu’à DoNot et Fin7.
Apparemment, les acteurs de la menace ont utilisé des fichiers XLL pour diffuser diverses familles de logiciels malveillants, telles que Warzone RAT ou Ducktail. Les entreprises sont averties de s’attendre à un nombre croissant de ces menaces à l’avenir.
Via : Le Registre (s’ouvre dans un nouvel onglet)