Операторы троянов вновь используют XLL, ломая аккаунты для обхода защиты

Татьяна Никитина 02 Ноября 2023 - 20:19

...

Операторы троянов вновь используют XLL, ломая аккаунты для обхода защиты

Последние месяцы команда HP Wolf Security фиксирует рост активности троянов, раздаваемых в файлах XLL. Чтобы обойти блокировку таких загрузок, введенную Microsoft, злоумышленники отправляют свои письма со скомпрометированных аккаунтов.

В III квартале 2023 года 80% вредоносов, по данным (PDF) HP Wolf, распространялись с использованием имейл. Для их доставки вновь начали использоваться файлы плагина Excel с поддержкой макросов (.xlam); такие угрозы в списке расширений, популярных у киберкриминала, поднялись на 7-ю строчку — с 46-й, которую они заняли по итогам II квартала.

Одна из таких имейл-кампаний была выявлена в июле; она была нацелена на засев RAT-трояна Parallax. Поддельные письма отправлялись с реальных, но взломанных аккаунтов, что позволяло обойти репутационные фильтры и дефолтную блокировку недоверенных XLL, введенную Microsoft.

Вредоносные вложения были замаскированы под скан инвойса. При открытии файла Excel автоматом запускает функцию xlAutoOpen; в данном случае это влечет отработку вредоносного кода.

Последний сначала для отвода глаз загружает различные системные библиотеки и обеспечивает выполнение их функций, чтобы затруднить статический анализ. После этого запускаются два потока (XLL поддерживает многопоточность).

Первый создает в C:\ProgramData папку с именем GUID и записывает в нее файл lum.exe. В реестре создается новый ключ, после этого вредоносный lum.exe запускается на исполнение.

Второй поток призван усилить иллюзию легитимности. Он записывает на диск маскировочный файл-инвойс (на самом деле это шаблон, снятый с легитимного сайта) и открывает его в Excel, используя ShellExecuteW.

Распаковка зловреда происходит в памяти, загрузка осуществляется по методу process hollowing. Чтобы обеспечить себе постоянное присутствие в системе, троян прописывается на автозапуск.

Основным назначением Parallax RAT является обеспечение удаленного доступа к зараженной системе. Он также умеет воровать учетные данные, загружать файлы и выгружать данные на внешний сервер.

Злоумышленники и ранее использовали XLL для доставки зловредов — например, операторы Dridex, Agent Tesla, инфостилеров Formbook, RedLine и Raccoon. В начале года Microsoft по умолчанию включила блокировку XLL-загрузок из недоверенных источников, чтобы исключить злоупотребления, и вектор утратил популярность в криминальных кругах — как оказалось, всего на полгода.

Следующая главная новость »

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!

Яков Шпунт 06 Апреля 2026 - 09:22

Сбои программ Сбои оборудования Домашние пользователи Корпорации

Вслед за банками перестала работать бесконтактная оплата в Vendista

В России в субботу начался массовый сбой в работе системы приёма безналичных платежей Vendista. О причинах инцидента и сроках его устранения оператор системы пока не сообщает. POS-терминалы Vendista широко используются компаниями малого и среднего бизнеса — для оплаты в магазинах, гостиницах, заведениях общественного питания, сфере услуг, при доставке еды навынос, а также в вендинговых автоматах.

Оператор системы, компания «ВендГрупп», работает с 2019 года и присутствует в России, Беларуси, Армении и Казахстане.

Как сообщает РБК, сбой начался 4 апреля. Он затронул только российский сегмент. Не проходили платежи через ряд банков-партнёров, включая ВТБ, «Т-Банк» и «Альфа-Банк». При этом через Сбербанк платежи у части пользователей проходили.

«Сроки восстановления неизвестны», — прокомментировали ситуацию РБК в «ВендГрупп».

Причину сбоя в компании также назвать не смогли. При этом в других странах присутствия никаких проблем не наблюдалось.

По оценке ИТ-эксперта Михаила Капустина, которую он дал в комментарии для «Российской газеты», причиной сбоя могла стать потеря соединения с одним из зарубежных серверов.

Это могло произойти как из-за ограничительных действий регулятора, так и на фоне военных действий: значительная часть таких серверов физически расположена в ОАЭ и других странах Персидского залива, которые нередко становятся целями ударов ракетами и дронами. Ещё одной возможной причиной, по мнению экспертов, опрошенных изданием, могла стать DDoS-атака.

«Сообщалось, что сбой затронул операции через ВТБ, Т-Банк и Альфа-Банк, тогда как Сбер у части пользователей продолжал работать. Это важная деталь, потому что она делает менее вероятной версию о неисправности самих терминалов как „железа“ и скорее указывает на проблему в платёжной обработке, маршрутизации или интеграции с частью банковских контуров», — отметил в комментарии для «Российской газеты» доцент Финансового университета при Правительстве РФ Кырлан Марчел.

По его оценке, наиболее вероятны три сценария: сбой в процессинге или платёжном шлюзе, ошибка при обмене данными с банками, а также неудачное обновление ПО или изменение конфигурации на серверах, из-за которых была нарушена отправка запросов.

Накануне, 3 апреля, произошёл массовый сбой в работе сразу нескольких крупнейших финансовых платформ. Он продолжался несколько часов.

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!