HP: cybercriminals increasingly use infected Excel files

HP: киберпреступники все чаще используют зараженные файлы Excel 

HP Inc. released the HP Wolf Security Threat Insights Report, which analyzed the cyberattacks that occurred in the fourth quarter of 2021. After studying the threats that managed to bypass security systems and reached the end devices of users, HP Wolf Security experts drew conclusions about the latest attack methods used by cybercriminals.

Компания HP Inc. выпустила отчет HP Wolf Security Threat Insights Report, в котором проанализировала произошедшие в IV квартале 2021 кибератаки. Изучив угрозы, которые сумели обойти системы безопасности и добрались до конечных устройств пользователей, специалисты HP Wolf Security сделали выводы о новейших методах атак, используемых киберпреступниками.

The HP Wolf Security research team has uncovered a wave of Excel add-in attacks that allow attackers to spread malicious code and gain access to devices and networks to steal business or individual data. The number of attackers using malicious Microsoft Excel add-in (.xll) files to infect victim systems has increased by almost 7 times compared to the previous quarter. Such attacks turned out to be very dangerous, because. To start the malware, you just need to click on the file sent by the cybercriminal. The team also found advertisements on the dark web for "droppers" (software for delivering and running .xll files) and entire software development kits that make it easier for inexperienced attackers to run such campaigns.

Исследовательская группа HP Wolf Security обнаружила волну атак с использованием надстроек Excel, с помощью которых злоумышленники распространяют вредоносный код и получают доступ к устройствам и сетям, чтобы затем похитить данные предприятий или отдельных лиц. Число злоумышленников, использующих вредоносные файлы надстроек Microsoft Excel (.xll) для заражения систем своих жертв, увеличилось почти в 7 раз по сравнению с прошлым кварталом. Такие атаки оказались очень опасными, т.к. для начала работы вредоносного ПО достаточно всего лишь кликнуть по отправленному киберпреступником файлу. Команда также обнаружила в даркнете рекламу «дропперов» (программного обеспечения для доставки и запуска .xll файлов) и целых наборов для создания программ, которые облегчают проведение подобных кампаний для неопытных злоумышленников.

In a recent QakBot spam campaign, attackers distributed Excel files through compromised email accounts. The criminals intercepted emails and sent fake response messages with a malicious Excel file (.xlsb) attached. Once delivered to the victim's device, QakBot injects itself into OS processes to avoid detection. Malicious Excel (.xls) files have also been used to spread the Ursnif banking trojan to Italian-speaking businesses and public sector organizations via spam. At the same time, the attackers posed as employees of the Italian courier service BRT. Emotet's new malware campaigns now also use Excel instead of JavaScript or Word files.

В ходе недавней спам-кампании QakBot злоумышленники распространяли файлы Excel через скомпрометированные учетные записи электронной почты. Преступники перехватывали электронную переписку и отправляли поддельные ответные сообщения с прикрепленным вредоносным файлом Excel(.xlsb). После доставки на устройство жертвы, QakBot внедряется в процессы ОС, чтобы таким образом избежать обнаружения. Вредоносные файлы Excel (.xls) также использовались для распространения банковского трояна Ursnif среди итальяноязычных предприятий и организаций государственного сектора посредством спама. При этом злоумышленники выдавали себя за служащих итальянской курьерской службы BRT. Новые кампании по распространению вредоносных программ Emotet теперь также используют Excel вместо файлов JavaScript или Word.

With HP Wolf Security software, customers have been able to open over 10 billion email attachments, web pages and downloads without any reported leaks.

Благодаря программному обеспечению HP Wolf Security клиенты смогли открыть более 10 миллиардов вложений электронной почты, веб-страниц и загруженных файлов без каких-либо зафиксированных утечек.

The data for the study was collected by HP Wolf Security specialists from customer virtual machines from October to December 2021.

Данные для исследования были собраны специалистами HP Wolf Security с виртуальных машин клиентов в период с октября по декабрь 2021 года.