最新消息,Bleeping Computer发现近期网钓黑客散布的Excel XLL外挂档案,会在受害装置植入可执行指令的木马程序RedLine,有人在网络散布恶意Microsoft Excel XLL外挂档案,以下载窃密软件。
窃密软件的工作原理
近日一些网站的联络信息表单或网络论坛留下这些XLL档案。在尝试后打开、运行后发现,一旦用户安装后,即会下载窃密软件RedLine,后者是一只搜集cookies等敏感信息的木马程序,也可在受害者计算机上执行木马程序发布者想执行的各种指令。
据悉,XLL是专门为Microsoft Excel执行的DLL档,目的在扩充Excel功能,象是从外部资源汇入资料,或是执行需要的功能。
Bleeping Computer协同外部安全专家分析发现到的XLL样本,可在某些版本Excel执行,但某些版本则无法正确启动。手动执行会触发它在User Profile资料夹内下载binary JavaBridge32.exe,后者再下载并自动执行RedLine。分析显示,这只木马程序会搜寻Chrome、Edge、Firefox等浏览器cookies、以搜集账号密码、信用卡信息、FTP服务器凭证、或是下载其他恶意软件,或是截取开启中的Windows应用程序画面。
普通人如何避免中招
一般来说,这类XLL档案也可能透过垃圾信件发送。媒体建议,防范方式很简单,就是不要点选任何可疑或陌生邮件,而实际上来说,这种邮件如果在带有一些伪装的情况下,依然很难识别,并且会在不经意间点击,从而中招。
恶意程序利用Office应用程序散布未曾间断过,安全研究人员上周才揭露数个国家黑客组织使用名为RTF模板注入(RTF template injection)的手法,变更RTF的文件属性设定,以便用户开启Word文件时,即从远端网站载入窃密恶意程序。
善用云端工具,快速打造高安全性基础架构
不同于地端自建必须由企业完全承担资安责任,透过云端服务的使用,资安成为云端业者和用户的共同责任,而且随着IaaS、PaaS、SaaS的不同应用形式,用户所需分摊的资安责任也随之递减。