Selon Cisco Talos, les acteurs des menaces persistantes avancées (APT) et les familles de logiciels malveillants de base utilisent de plus en plus les fichiers Excel add-in (.XLL) comme vecteur d’intrusion initial.
Les documents Office armés transmis par des courriels de harcèlement et d’autres attaques d’ingénierie sociale restent l’un des points d’entrée les plus utilisés par les groupes criminels qui cherchent à exécuter des codes malveillants.
Ces documents invitent traditionnellement les victimes à activer des macros pour afficher un contenu apparemment inoffensif, pour ensuite activer l’exécution de logiciels malveillants en arrière-plan.
Pour contrer cette utilisation abusive, le fabricant de Windows a adopté un changement crucial à partir de juillet 2022 qui bloque les macros dans les fichiers Office joints aux messages électroniques, coupant ainsi un vecteur d’attaque crucial.
Bien que ce blocage ne s’applique qu’aux nouvelles versions d’Access, d’Excel, de PowerPoint, de Visio et de Word, les mauvais acteurs ont expérimenté d’autres voies d’infection pour déployer des logiciels malveillants.
L’une de ces méthodes s’avère être les fichiers XLL, qui est décrite par Microsoft comme un « type de fichier de bibliothèque de liens dynamiques (DLL) qui ne peut être ouvert que par Excel ».
« Les fichiers XLL peuvent être envoyés par e-mail, et même avec les mesures habituelles d’analyse anti-malware, les utilisateurs peuvent être en mesure de les ouvrir sans savoir qu’ils peuvent contenir du code malveillant », a déclaré Vanja Svajcer, chercheur chez Cisco Talos, dans une analyse publiée la semaine dernière.
Selon la société de cybersécurité, les acteurs de la menace utilisent un mélange de modules complémentaires natifs écrits en C++ et de modules développés à l’aide d’un outil gratuit appelé Excel-DNA, un phénomène qui a connu un pic important depuis la mi-2021 et qui s’est poursuivi cette année.
Cela dit, la première utilisation malveillante publiquement documentée de XLL aurait eu lieu en 2017, lorsque l’acteur APT10 (alias Stone Panda), lié à la Chine, a utilisé cette technique pour injecter sa charge utile de porte dérobée dans la mémoire par le biais du process hollowing.
Parmi les autres collectifs adverses connus figurent TA410 (un acteur lié à APT10), DoNot Team et FIN7, ainsi que des familles de logiciels malveillants de base comme Agent Tesla, Arkei, Buer, Dridex, Ducktail, Ekipa RAT, FormBook, IcedID, Vidar Stealer et Warzone RAT.
L’abus du format de fichier XLL pour distribuer Agent Tesla et Dridex a été précédemment mis en évidence par l’unité 42 de Palo Alto Networks, notant qu’il « peut indiquer une nouvelle tendance dans le paysage des menaces. »
« Comme de plus en plus d’utilisateurs adoptent les nouvelles versions de Microsoft Office, il est probable que les acteurs de la menace se détournent des documents malveillants basés sur VBA pour se tourner vers d’autres formats tels que les XLL ou s’appuient sur l’exploitation de vulnérabilités récemment découvertes pour lancer du code malveillant dans l’espace de processus des applications Office », a déclaré Svajcer.
1. Les macros malveillantes de Microsoft Publisher poussent Ekipa RAT.
Ekipa RAT, en plus d’intégrer des compléments Excel XLL, a également reçu une mise à jour en novembre 2022 qui lui permet de profiter des macros Microsoft Publisher pour déposer le cheval de Troie d’accès à distance et voler des informations sensibles.
« Tout comme les autres produits Microsoft Office, comme Excel ou Word, les fichiers Publisher peuvent contenir des macros qui s’exécuteront à l’ouverture ou à la fermeture [du] fichier, ce qui en fait des vecteurs d’attaque initiaux intéressants du point de vue de l’acteur de la menace », note Trustwave.
Il convient de noter que les restrictions imposées par Microsoft pour empêcher l’exécution des macros dans les fichiers téléchargés sur Internet ne s’étendent pas aux fichiers Publisher, ce qui en fait un vecteur d’attaque potentiel.
« Le RAT Ekipa est un excellent exemple de la façon dont les acteurs de la menace modifient continuellement leurs techniques pour garder une longueur d’avance sur les défenseurs », a déclaré Wojciech Cieslak, chercheur chez Trustwave. « Les créateurs de ce malware suivent les évolutions du secteur de la sécurité, comme le blocage des macros sur Internet par Microsoft, et modifient leurs tactiques en conséquence. »