Microsoft решила подорвать доставку зловредов через Excel XLL

Microsoft решила подорвать доставку зловредов через Excel XLL

Microsoft решила подорвать доставку зловредов через Excel XLL

В Microsoft работают над усилением защиты XLL от злоупотреблений. В марте должны выйти обновления для Microsoft 365, вводящие автоблокировку таких загрузок из интернета.

Согласно обоснованию апдейта, добавленного в дорожную карту Microsoft 365, данная мера вызвана ростом популярности этого вектора заражения в последние месяцы. Обновления выйдут во всех основных каналах: Current, Monthly Enterprise, Semi-Annual Enterprise.

Файлы XLL представляют собой динамические библиотеки, расширяющие функциональность Excel (добавляют кастомные функции, диалоговые окна, тулбары). По умолчанию эти надстройки не готовы к использованию, их надо установить (требуются права администратора Windows), а иногда и активировать.

Злоумышленники используют XLL-файлы для распространения вредоносных программ через скрытые загрузки (drive-by) или вложения, замаскированные под документ легитимной организации. При открытии такого файла Excel выводит предупреждение о потенциальной угрозе, однако многие пользователи его игнорируют.

По данным Cisco Talos, данный вектор заражения известен давно, но активно применяется киберкриминалом с середины 2021 года. Его используют для доставки первичной полезной нагрузки и обычные искатели легкой наживы, и APT-группы.

Стоит отметить, что отправка XLL-файла вложением — очень редкий случай, но легковерные пользователи об этом даже не задумываются и в итоге получают зловреда на свой компьютер. Недавно злоумышленники, использующие имейл, опробовали еще один способ обхода защиты Microsoft Office — пустили в оборот вложения в формате OneNote.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Мошенники стали в 16 раз чаще звонить с поддельных номеров из-за рубежа

За последнюю неделю количество фейковых звонков с иностранных номеров в Россию выросло в 16 раз. Об этом рассказали в Сбере. Всплеск удалось заметить в том числе благодаря пользователям, которые отправляли жалобы через раздел «Сообщи о мошеннике» в приложении СберБанк Онлайн.

Такие звонки — не новость: злоумышленники давно используют облачные АТС, где можно быстро взять в аренду номер с кодом другой страны.

Чаще всего — европейских. Иногда — стран с «похожими» номерами (например, +84 95), чтобы выглядело более правдоподобно. Всё это делается через IP-телефонию, что позволяет обходиться без операторов сотовой связи и затрудняет блокировку.

Зампред правления Сбера Станислав Кузнецов отметил, что несмотря на резкий рост таких звонков, в общем объёме мошеннических вызовов их пока немного. Антифрод-система банка их фиксирует и ставит подозрительные операции на усиленный контроль — благодаря этому удаётся избегать хищений.

Но в банке всё равно призывают не терять бдительность:

«Если вам звонят с незнакомого номера из-за границы — просто не отвечайте. Если у вас нет родных или деловых контактов за рубежом, то такие звонки почти наверняка мошеннические».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru