Cyberaanvallen op basis van Microsoft Excel add-in-bestanden (.XLL) zijn in een jaar tijd met bijna 600 procent gestegen. In een nieuw rapport maken securityonderzoekers van HP Wolf Security bekend hoe het bestandstype wordt misbruikt.
Excel add-in-bestanden (.XLL) maken het mogelijk om DLL-bestanden in Excel sheets te openen. Cybercriminelen misbruiken de functie om malware via Excel sheets te verspreiden. Onderzoekers van HP Wolf Security namen in het laatste kwartaal van 2021 bijna zes keer zoveel XLL-aanvallen waar als het jaar daarvoor.
Aanvallers verspreiden .XLL-bestanden via phishing mails met betalingsherinneringen, offertes en de leveringsstatus van producten. Bij het uitvoeren van het bestand worden gebruikers verzocht om een add-in-bestand te downloaden. Achter de schermen rolt het bestand malware uit op het apparaat van de gebruiker.
HP Wolf Security vond meerdere malwaresoorten die backdoors creëren en toegang van buiten het netwerk mogelijk maken, waaronder BazaLoader, Dridex en Agent Tesla. Ook stuitten de onderzoekers op een deep web-advertentie over een ‘XLL Excel Dropper’. De adverteerder biedt voor 2.000 dollar (zo’n 1.800 euro) een softwareproduct aan om malwarelinks en Excel-bestanden in een handomdraai om te zetten naar een add-in-bestand.
HP Wolf Security adviseert organisaties om alle onbekende mails met .XLL-bijlagen te weigeren via email gateways. De organisatie roept securityteams op om waakzaam te blijven voor malware die met legitieme functies als Excel XLL wordt verspreid.