Microsoft disuadirá aún más los ataques de malware al bloquear los complementos XLL descargados de Internet

Microsoft presentará una nueva medida de seguridad para disuadir a los piratas informáticos de distribuir malware utilizando complementos XLL. Como fue visto por Bleeping Computer, la compañía de Redmond comenzará a bloquear los complementos XLL de Internet en marzo una vez que la nueva capacidad esté disponible de forma general en marzo.

Según el gigante del software, el plan para implementar las nuevas medidas resultó en su objetivo de combatir el creciente número de ataques de malware, que se han vuelto cada vez más frecuentes en los últimos meses. En su Hoja de ruta de Microsoft 365, la empresa detalla que pronto se presentará a los usuarios de escritorio de todo el mundo de su producto Excel en el canal empresarial mensual, el canal empresarial semestral, la disponibilidad general, la versión preliminar y el canal actual.

El nuevo movimiento refleja la Informe de información sobre amenazas de seguridad de HP Wolf publicado el año pasado, destacando "un aumento de casi seis veces en los atacantes que usan complementos de Excel (.XLL) para infectar sistemas". Cisco Talos, mientras tanto, dijo que "actualmente, un número significativo de actores de amenazas persistentes avanzadas y familias de malware de productos básicos están utilizando XLL como vector de infección y este número continúa creciendo".

XLL es una extensión para complementos de Excel y básicamente un archivo DLL (bibliotecas de vínculos dinámicos). Es poco común que dichos archivos se utilicen como archivos adjuntos de correo electrónico, ya que los administradores suelen instalarlos. No obstante, dado que la extensión de archivo XLL está vinculada con un ícono similar a otras extensiones compatibles con Excel, las personas despistadas pueden confundirlas con otros formatos de archivo de Excel. Esto empujará a dichos usuarios a abrirlos. Y aunque Excel mostrará una advertencia estándar sobre el problema de seguridad, un solo clic en el botón "habilitar" puede ejecutar el complemento. Una vez activado, la entrega de malware comenzará en segundo plano, lo que permitirá a los piratas informáticos ejecutar códigos maliciosos en la máquina.

"... Los archivos XLL pueden ser una buena opción para los adversarios que buscan obtener un punto de apoyo inicial en una máquina víctima", dijo Unidad 42 de Palo Alto Networks. “Un atacante puede obtener código empaquetado en una DLL cargada por Excel, lo que a su vez puede engañar a los productos de seguridad que no están preparados para lidiar con este escenario”.

Actualmente, la mejor manera que los usuarios pueden hacer para protegerse del malware que entrega XLL es rechazar los enlaces de descarga, los archivos adjuntos o los correos electrónicos que contienen el archivo. Esto se sugiere especialmente para correos electrónicos y enlaces sospechosos de remitentes y sitios web desconocidos (incluidos los falsos), ya que los malhechores pueden disfrazar los archivos para que parezcan documentos legítimos. 

Una vez que se implementen los cambios, los usuarios de Microsoft 365 obtendrán una mejor protección que bloqueará los complementos XLL descargados a través de Internet. Esto significa seguridad contra los malos actores que confían en la web para distribuir su malware. Y aunque la disponibilidad general de la próxima capacidad aún podría cambiar, su llegada supondrá una gran mejora para la seguridad de los clientes de Microsoft.