Microsoft планирует пресечь на корню распространение вредоносного ПО через надстройки Excel

Microsoft работает над добавлением защиты надстроек XLL для клиентов Microsoft 365. Способ стандартный — XLL файлы, загружаемые из Интернета, будут автоматически блокироваться. Несмотря на потенциальные неудобства, это поможет справиться с растущим числом вредоносных кампаний, использующих этот способ заражения. Уже в этом марте опцию планируют «развернуть» на большинство действующих пользователей Microsoft 365.

«Для борьбы с растущим числом атак вредоносных программ в последние месяцы мы решили автоматически блокировать надстройки XLL, поступающие из Интернета», — говорят представители редмондской корпорации.

Надстройки Excel XLL представляют собой библиотеки динамической компоновки (DLL), используемые для расширения функциональных возможностей Microsoft Excel. Злоумышленники используют их в фишинговых кампаниях для распространения различных вредоносных данных. XLL доставляют на компьютер жертвы в виде ссылок для загрузки или вложений, замаскированных под документы от доверенных лиц.

Как только цель откроет неподписанный файл XLL, выскочит предупреждение о «потенциальном содержимом, связанном с безопасностью» и о том, что «надстройки могут содержать вирусы или другие угрозы безопасности». Надстройку будет предложено включить только для текущего сеанса.

Если проигнорировать предупреждение Office (что и делают в большинстве случаев) и запустить надстройку, она сразу начнёт развертывать полезную нагрузку вредоносного ПО в фоновом режиме.

Поскольку файлы XLL являются исполняемыми, и злоумышленники могут использовать их для запуска вредоносного кода, открывать их стоит только при 100% уверенности, что надстройки получены от надежного источника. Кроме того, эти файлы обычно не отправляются в виде вложений электронной почты, а устанавливаются администратором Windows. Поэтому, если вы получили электронное письмо или любое другое сообщение, в котором содержатся XLL файлы, скачивать и открывать их точно не следует.

Предупреждение Excel о потенциально небезопасном файле XLL

Больше года назад, в отчете Threat Insights Report Q4 2021 группа аналитиков угроз HP сообщала о «почти шестикратном увеличении числа злоумышленников, использующих надстройки Excel». Вероятно, число случаев зловредного применения надстроек с того момента выросло ещё больше, раз Microsoft пошла на такие меры.

Как сообщают представители Cisco Talos уже в январском отчете, XLL-файлы в настоящее время используются как злоумышленниками с финансовой мотивацией, так и поддерживаемыми государством группами хакеров (APT10, FIN7, Donot, TA410).

Подобная политика взаимодействия с подозрительными файлов для Microsoft далеко не нова. В июле 2022 года блокировки коснулись макросов Office VBA, а в марте 2021 — макросов XLM. Разумеется, все эти ограничения доставляют конечному пользователю Office немало неудобств, но все действия Microsoft, так или иначе, направлены на безопасность.