专业安全网站Bleeping Computer发现有人在网络传播恶意Microsoft Excel XLL插件文件,以下载窃密软件。
近日一些网站的联系信息表单或网络论坛留下这些XLL文件。一旦用户安装后,即会下载窃密软件RedLine,后者是一只搜集cookies等敏感信息的木马程序,也可在受害者计算机上执行指令。
图片来源_Bleeping Computer
XLL是专门为Microsoft Excel执行的DLL档,目的在扩展Excel功能,像是从外部资源导入资料,或是执行需要的功能。
Bleeping Computer协同外部安全专家分析发现到的XLL样本,可在某些版本Excel执行,但某些版本则无法正确启动。手动执行会触发它在User Profile文件夹内下载binary JavaBridge32.exe,后者再下载并自动执行RedLine。分析显示,这只木马程序会搜索Chrome、Edge、Firefox等浏览器cookies、以搜集账号密码、信用卡信息、FTP服务器凭证、或是下载其他恶意软件,或是截取打开中的Windows应用程序画面。
图片来源_Bleeping Computer
这类XLL文件也可能通过垃圾信件发送。媒体建议,防范方式很简单,就是不要点击任何可疑或陌生邮件。
恶意程序利用Office应用程序传播未曾间断过。安全研究人员上周才披露数个国家黑客组织使用名为RTF范本注入(RTF template injection)的手法,变更RTF的文件属性设置,以利用户打开Word文件时,即从远程网站加载窃密恶意程序。