Los atacantes abusan cada vez más de los archivos XLL

Los ciberdelincuentes utilizan cada vez más los XLL como vector de infección en sus ataques. Existen varios métodos, como funciones de manejo de eventos en archivos de Excel para iniciar archivos XLL automáticamente, así como la explotación de las vulnerabilidades de los archivos XLL para atacar a sus víctimas. Uso de complementos maliciosos De acuerdo […]

Los ciberdelincuentes utilizan cada vez más los XLL como vector de infección en sus ataques. Existen varios métodos, como funciones de manejo de eventos en archivos de Excel para iniciar archivos XLL automáticamente, así como la explotación de las vulnerabilidades de los archivos XLL para atacar a sus víctimas.

Uso de complementos maliciosos

De acuerdo a los investigadores de Cisco Talos, los atacantes envían archivos XLL maliciosos a través de correos electrónicos, que no son detectados por las tácticas típicas de escaneo antimalware. Aumentando así las posibilidades de que los usuarios abran estos archivos maliciosos.

• Para ejecutar código automáticamente, los atacantes usan documentos de Office que implementan una o más funciones de manejo de eventos; AutoClose, AutoOpen, Document_Close y Document_Open para Word. Para Excel, Workbook_Close, Worbook_Open y Auto_Open, Auto_Close.
  

• Estas funciones se llaman cuando se abre o se cierra un documento o cuando una aplicación de Office activa un evento controlado por una de las funciones.
  
• Además, las funciones de inicio automático del malware permiten el lanzamiento de código macro malicioso con una interacción mínima del usuario.
  

Evolución de los ataques XLL

Según el informe, los ataques basados en XLL han existido desde al menos 2017.

La primera carga útil XLL se encontró en la plataforma VirusTotal en julio de 2017, que lanzó calc.exe. Esto podría considerarse como un método de prueba habitual o un POC.

La segunda muestra, presentada en el mismo mes, lanzó un shell inverso de Meterpreter. Eso puede haber sido utilizado con intenciones maliciosas o pruebas de penetración. Después de eso, los archivos XLL aparecieron ocasionalmente.

No hubo un recuento significativo de ataques basados en XLL hasta finales de 2021, cuando familias de malware como FormBook y Dridex comenzaron a usarlo.

Actores de amenazas que utilizan los archivos XLL

El informe proporciona además información detallada sobre el uso de ataques basados en XLL por parte de múltiples grupos de amenazas para infectar computadoras, desde 2017.

FIN7, un infame actor de amenazas cibernéticas, comenzó a usar archivos XLL como archivos adjuntos en campañas de correo electrónico a principios de este año. Cuando se ejecutan estos archivos, funcionan como un descargador para la siguiente etapa de infección.

A mediados de este año, se observó que la red de bots Emotet entregaba archivos XLL en archivos ZIP, lo que permitía soltar y ejecutar la carga útil de Emotet.

El equipo de DoNot que se enfocó en las organizaciones sin fines de lucro de Cachemira y los funcionarios del gobierno de Pakistán utilizó un archivo XLL cargado con dos exportaciones, la primera pdteong y la segunda xlAutoOpen, que era una carga útil funcional nativa basada en XLL.

Otro actor de amenazas, denominado TA410, conocido por apuntar a empresas de servicios públicos y organizaciones diplomáticas de EE. UU., usó un conjunto de herramientas que contenía una etapa XLL detectada en 2020.

En diciembre de 2017, se detectó un archivo que usaba XLL para inyectar malware exclusivo de APT10 llamado Anel.

Las amenazas adicionales detectadas con los archivos XLL incluyen Dridex, FormBook, AgentTesla, Lokibot y Ducktail.