Come anticipato a metà febbraio, Microsoft ha rilasciato un aggiornamento per la suite di produttività che include il blocco degli add-in XLL scaricati da Internet. La nuova funzionalità sarà disponibile per tutti gli abbonati a Microsoft 365 entro fine mese. Intanto è stato rilevato il ritorno di Emotet, la famigerata botnet che sfrutta le macro VBA per distribuire malware.
Blocco automatico per i file XLL
I file XLL sono DLL specifiche per Excel, scritte in C o C++, che aggiungono funzionalità all’applicazione. Molti cybercriminali sfruttano questi add-in per distribuire malware, quindi Microsoft ha deciso di bloccare automaticamente quelli provenienti da fonti non affidabili, ovvero scaricati da Internet.
Come accade per le macro VBA, gli utenti che aprono un foglio di lavoro Excel ricevuto via email vedranno un avviso di sicurezza, come prima, ma stavolta non sarà possibile attivare gli add-in. I file XLL sono spesso utilizzati durante le campagne di phishing per convincere gli utenti ad aprire un presunto documento importante in allegato o pubblicato su un sito esterno.
A proposito di malware che sfruttano le applicazioni Microsoft, gli esperti di Cofense hanno rilevato nuovi attacchi effettuati con Emotet, dopo oltre tre mesi di silenzio (ma è ancora nella top 10 di Check Point Software).
Il documento Word presente nell’archivio ZIP allegato all’email contiene una macro che scarica ed esegue il loader di Emotet. Viene quindi installato il client della botnet che consente ai cybercriminali di ottenere il controllo remoto del computer. Fortunatamente Microsoft ha disattivato l’esecuzione delle macro nei documenti scaricati da Internet.
Ti potrebbe interessare
9 mar 2023