O programa de produtividade Microsoft Excel tem sido utilizado como principal ferramenta em uma onda de ataques cibernéticos para distribuir malware. A descoberta foi feita por pesquisadores da HP Wolf Security, que alertam que essas campanhas podem deixar as empresas vulneráveis a roubos de dados, ransomware e outros tipos de crimes.
Os ataques utilizaram arquivos de suplemento do Excel com a extensão XLL. Segundo levantamento da HP Wolf Security, houve um aumento de 588% nos incidentes envolvendo essa técnica no último trimestre de 2021 em comparação com os três meses anteriores.
Os arquivos XLL permitem que os usuários implementem uma série de ferramentas e funções extras no programa da Microsoft, e é por isso que eles são tão populares. Por outro lado, eles também podem ser explorados por hackers, como mostra o estudo recente.
No caso, a estratégia utilizada pelos cibercriminosos foi enviar e-mails de phishing, mencionando pagamentos, recibos, encomendas, entre outros assuntos, com arquivos XLL maliciosos.
Ao executar o arquivo, é exibida uma mensagem para o usuário instalar e ativar o suplemento. Caso a vítima aceite, isso fará com que o malware funcione secretamente no dispositivo.
Backdoors e riscos de cibersegurança
Os pesquisadores identificaram as famílias de malware que estão sendo distribuídos nesses ataques cibernéticos, e elas incluem: Dridex, IcedID, BazaLoader, Agent Tesla, Raccoon Stealer, Formbook e Bitrat.
Muitos deles são capazes de criar backdoors nos sistemas infectados, permitindo que os hackers acessem os computadores das vítimas de forma remota. Com isso, os criminosos conseguem monitorar as atividades dos usuários e roubar dados sensíveis.
Outra preocupação relacionada a esses backdoors é que eles também podem ser utilizados para distribuir outros tipos de malware, como ransomware. Isso significa, que os arquivos XLL também podem ser explorados com o intuito de criptografar redes e exigir da vítima o pagamento de um ”resgate”.
Aparentemente, os ataques com arquivos XLL são eficazes, considerando os preços estabelecidos por criminosos que oferecem esse serviço em fóruns da dark web. Alguns deles cobram mais de US$ 2 mil, um valor que os membros dessas comunidades online parecem dispostos a pagar.
Prevenção contra ameaças
Além das campanhas de XLL, os pesquisadores da HP Wolf Security observaram que o trojan QakBot, frequentemente utilizado em ataques ransomware, também está explorando o Excel para infectar novas vítimas.
No caso, os hackers conseguem invadir um seguimento de trocas de e-mails para enviar documentos do Excel em arquivos ZIP que contêm a extensão Microsoft Excel Binary Workbook (XLSB). Ao executar o arquivo, a vítima acaba por desencadear o download do QakBot.
Aproveitar os recursos de softwares legítimos para evitar ferramentas de detecção, assim como utilizar tipos de arquivos incomuns para burlar os mecanismos de segurança de e-mails, são táticas muito utilizadas em ataques cibernéticos, segundo os pesquisadores.
A recomendação, portanto, é que as equipes de cibersegurança não dependam exclusivamente de sistemas de detecção e que mantenham-se atualizadas em relação às ameaças mais recentes e como se proteger delas.
Os pesquisadores alertam ainda que os hackers estão constantemente em busca de formas inovadoras de passarem despercebidos, dificultando cada vez mais que essas ameaças sejam prevenidas ou combatidas a tempo.
Para evitar as campanhas recentes de phishing, é recomendado configurar as permissões de e-mail para que anexos com a extensão .xll sejam bloqueados e apenas suplementos autorizados possam ser entregues por remetentes confiáveis. Se possível, a opção mais segura seria desabilitar os suplementos do Excel completamente.