Киберпреступники обходят блокировку макросов в Office через XLL-формат

Татьяна Никитина 28 Декабря 2022 - 16:45

...

Киберпреступники обходят блокировку макросов в Office через XLL-формат

Когда Microsoft начала по умолчанию блокировать макросы в документах Office, загружаемых из интернета, киберкриминалу пришлось искать альтернативные способы доставки зловредов. По данным Cisco Talos, в прошлом году злоумышленники провели ряд вредоносных атак с использованием файлов XLL; пробный вектор заражения прижился и актуален по сей день.

Решение Microsoft усложнить активацию VBA-макросов было вызвано большим количеством злоупотреблений. Дефолтную блокировку для веб-загрузок начали развертывать в июле, однако из-за недовольства пользователей процесс пришлось откатить.

Тем не менее некий эффект эта мера все же дала: распространители вредоносов стали реже использовать документы Office на начальном этапе атаки. Злоумышленники, полагающиеся на имейл-рассылки и социальную инженерию, теперь зачастую отдают предпочтение экзотическим форматам — ISO, VHD, RAR.

Файлы надстройки Excel (.xll) тоже оказались пригодными для этой цели. Подобная динамическая библиотека вряд ли вызовет подозрение у антивируса; при открытии файла Excel выдает предупреждение о потенциальной угрозе, однако многие пользователи его игнорируют.

Чтобы обеспечить автоматический запуск вредоносного кода, авторы зловредов реализуют функции обработки событий — Worbook_Open, Workbook_Close, Auto_Open, Auto_Close.

Попытки использования XLL во вредоносных рассылках наблюдаются с середины 2021 года. Этот вектор заражения уже опробовали распространители Agent Tesla, Dridex, FormBook, Warzone RAT, а также некоторые APT-группы — FIN7, APT10 (она же Cicada и Stone Panda).

В прошлом месяце XLL-формат взяли на вооружение операторы грозного инфостилера RedLine и RAT-трояна Ekipa. Последний примечателен также тем, что может доставляться через макросы в файлах .pub (приложение Publisher входит в набор инструментов Microsoft Office). Для злоумышленника это большое преимущество: макрос в данном случае исполняется при открытии или закрытии файла; более того, ограничение в виде блокировки Microsoft на PUB-файлы не распространяется.

Следующая главная новость »

Реагирование на инциденты ИБ: что делать, когда всё уже случилось?
Регистрируйтесь!

Екатерина Быстрова 27 Апреля 2026 - 10:39

Соответствие законодательству РФ Домашние пользователи Персональный VPN Анонимайзеры

На Госуслугах появится кнопка для жалоб на просьбы отключить VPN

На портале «Госуслуги» появится специальная кнопка, с помощью которой пользователи смогут пожаловаться на всплывающее сообщение с просьбой отключить VPN, даже если VPN у них не используется. Об этом сообщило Минцифры в своём канале в мессенджере «Максе».

В министерстве отметили, что такая кнопка появится «в ближайшее время». Она должна помочь пользователям быстрее сообщать о случаях, когда сервис ошибочно определяет подключение как VPN-соединение и ограничивает доступ.

Также в Минцифры заявили, что большинство российских сервисов ограничивают доступ для пользователей с включённым VPN. Если предупреждение об установленном VPN появляется ошибочно, ведомство советует обращаться в поддержку конкретного сервиса.

По версии Минцифры, ограничения вводятся для защиты данных, которые пользователи вводят на сайтах и в приложениях. В министерстве считают, что многие VPN-сервисы не обеспечивают должную защиту конфиденциальности и персональных данных, а злоумышленники могут использовать их для перехвата трафика и информации.

Таким образом, новая кнопка на «Госуслугах» должна стать способом быстро сообщать о ложных срабатываниях. Особенно это может быть полезно тем, кто находится за границей или сталкивается с ограничениями доступа без фактического использования VPN.

Напомним, ранее в Роскомнадзоре заявили, что корпоративный VPN внутри России пока никто не отменяет. По данным ведомства на 22 апреля 2026 года, использование VPN российскими компаниями для внутренних рабочих задач не ограничивается.

Реагирование на инциденты ИБ: что делать, когда всё уже случилось?
Регистрируйтесь!