恶意 Excel XLL 加载项推送 RedLine 密码窃取恶意软件

网络犯罪分子正在向网站联系表格和论坛发送垃圾邮件，以分发下载和安装 RedLine 密码和信息窃取恶意软件的 Excel XLL 文件。

RedLine 是一种信息窃取特洛伊木马程序，它会窃取存储在 Web 浏览器中的 cookie、用户名和密码以及信用卡，以及来自受感染设备的 FTP 凭据和文件。

除了窃取数据，RedLine 还可以执行命令、下载和运行更多恶意软件，以及创建活动 Windows 屏幕的屏幕截图。
所有这些数据都被收集并发送回攻击者，以在犯罪市场上出售或用于其他恶意和欺诈活动。

垃圾邮件联系表格和论坛

在过去的两周里，BleepingComputer 的联系表格多次被垃圾邮件发送，其中包含不同的网络钓鱼诱饵，包括虚假广告请求、节日礼物指南和网站促销。

在对诱饵进行研究后，BleepingComputer 发现这是一项针对许多使用公共论坛或文章评论系统的网站的广泛活动。

在 BleepingComputer 发现的一些网络钓鱼诱饵中，攻击者创建了虚假网站来托管用于安装恶意软件的恶意 Excel XLL 文件。

例如，一个活动使用了以下垃圾邮件和一个模仿合法 Plutio 网站的虚假网站。

经营业务所需的一切。管理项目，创建令人眼花缭乱的提案并更快地获得报酬。黑色星期五！所有计划都是免费的，不需要信用卡。

其他垃圾邮件伪装成付款报告、广告请求或礼品指南，其中包含指向托管在 Google 云端硬盘上的恶意 XLL 文件的链接，如下所示。

特别感兴趣的是针对网站所有者的诱饵，这些网站所有者请求在他们的网站上做广告并要求他们查看要约的条款。这会导致安装恶意软件的恶意“ terms.xll ”文件。

以 500 美元的价格向我们出售您网站上的广告空间
您可以通过以下链接阅读我们的条款
https://drive.google[.]com/file/d/xxx/view?usp=sharing

BleepingComputer 本周看到的其他诱饵是：

感谢您使用我们的应用程序。您的付款已获批准。您可以通过以下链接查看您的付款报告 https://xxx[.]link/report.xll

Google 刚刚公布了 2021 年最热门的 100 件礼物，

我赢得了 10.000 美元。也想要吗？阅读并接受条款
https://drive.google[.]com/file/d/xxx/view?usp=sharing

滥用 Excel XLL 文件

这些垃圾邮件活动旨在推送恶意 Excel XLL 文件，这些文件会在受害者的 Windows 设备上下载并安装 RedLine 恶意软件。

XLL 文件是一个加载项，允许开发人员通过读取和写入数据、从其他源导入数据或创建自定义函数来执行各种任务来扩展 Excel 的功能。

XLL 文件只是一个 DLL 文件，其中包含一个“xlAutoOpen”函数，该函数在加载项打开时由 Microsoft Excel 执行。

虽然 BleepingComputer 和安全研究员TheAnalyst进行的测试并 没有正确加载 XLL 文件，但它们可能适用于其他版本的 Microsoft Excel。

但是，使用 regsvr32.exe 命令或“ rundll32 name.xll,xlAutoOpen ”命令手动执行 DLL会将 wget.exe程序提取到 %UserProfile% 文件夹，并使用它从远程站点下载 RedLine 二进制文件。

该恶意二进制文件保存为%UserProfile%\JavaBridge32.exe [ VirusTotal ] 然后执行。

每次受害者登录 Windows 时，都会创建一个注册表自动运行条目，以自动启动 RedLine 信息窃取程序。

一旦恶意软件被执行，它将搜索有价值的数据来窃取，包括存储在 Chrome、Edge、Firefox、Brave 和 Opera 浏览器中的凭据和信用卡。

如果您成为此活动的受害者，您应该假设您存储的密码已被泄露并立即更改它们。此外，如果您的浏览器中存储了信用卡，您应该联系您的信用卡公司以提醒他们注意这一事件。

由于 XLL 文件是可执行文件，攻击者可以使用它们在设备上执行各种恶意行为。因此，除非它来自受信任的来源，否则您绝不能打开它。

这些文件通常不作为附件发送，而是通过另一个程序或通过您的 Windows 管理员安装。

因此，如果您收到分发这些类型文件的电子邮件或其他消息，只需删除该消息并将其报告为垃圾邮件即可。