恶意 Excel XLL 插件推送 RedLine 密码窃取恶意软件

Hackernews 编译，转载请注明出处：消息来源：

http://hackernews.cc/wp-content/uploads/2021/12/5aeb03155afc7f0c645b06cf6f24ba1-600x300.jpg

网络犯罪分子正在向网站联系表格和论坛发送垃圾邮件，以分发 Excel XLL 文件，而它会下载和安装 RedLine 恶意软件，用于密码和信息窃取。
RedLine 是一种信息窃取木马程序，它会窃取存储在 Web 浏览器中的 cookie、用户名和密码以及信用卡，以及受感染设备的 FTP 凭据和文件。
除了窃取数据，RedLine 还可以执行命令、下载和运行更多恶意软件，以及进行 Windows的屏幕截图。
所有这些数据都被收集并发送回攻击者那里，之后在犯罪市场上出售或用于其他恶意和欺诈活动。
在过去的两周里，BleepingComputer 的联系表格收到多次垃圾邮件，其中包含不同的网络钓鱼诱饵，如虚假广告请求、节日礼物和网站促销。
在对诱饵进行研究后，BleepingComputer 发现这是一项针对许多使用公共论坛或文章评论系统的网站的大规模活动。
在 BleepingComputer 发现的一些网络钓鱼诱饵中，攻击者创建了虚假网站来托管用于安装恶意软件的恶意 Excel XLL 文件。
例如，有一次攻击使用了以下垃圾邮件和一个模仿合法 Plutio 网站的虚假网站。

http://hackernews.cc/wp-content/uploads/2021/12/dc884a227ab57c030a72b677dc03b4b-600x405.jpg
其他垃圾邮件伪装成付款报告、广告请求或礼品指南，其中包含指向托管在 Google 云端硬盘上的恶意 XLL 文件的链接，如下所示。

http://hackernews.cc/wp-content/uploads/2021/12/18be5ac6824dc81ace4e6448239e2c8-600x376.jpg
特别有趣的是针对网站所有者的诱饵，这种诱饵会请求在他们的网站上做广告并要求他们查看合约的条款，这会启动恶意“terms.xll”文件，并安装恶意软件。

把你网站上的广告位卖给我们，起价500美元/n你可以在下面的链接中阅读我们的条款

Https://drive.google /file/d/xxx/view? usp = sharing

BleepingComputer 还收到了其他的诱饵邮件，如下所示：

感谢您使用我们的应用程序。您的付款已被批准。点击下面的链接可以看到您的付款报告：

 https://xxx [ . ] link/report.xll

谷歌刚刚公布了2021年最热门的100件礼物，我赢得了一万美元。你也想要吗? 阅读和接受条款

Https://drive.google /file/d/xxx/view? usp = sharing

这些垃圾邮件活动旨在推送恶意 Excel XLL 文件，这些文件会在受害者的 Windows 设备上下载并安装 RedLine 恶意软件。
XLL 文件是一个插件，允许开发人员通过读取和写入数据、从其他源导入数据或创建自定义函数来执行各种任务来扩展 Excel 的功能。
XLL 文件只是一个包含一个“xlAutoOpen”函数的DLL 文件，在加载项打开时由 Microsoft Excel 执行。

http://hackernews.cc/wp-content/uploads/2021/12/5383dd8732b994d349fdc33c78fb6e2-600x403.jpg
BleepingComputer 和安全研究机构 TheAnalyst一起进行了测试，讨论这次攻击，我们做得测试并没有正确加载 XLL 文件，但它们可能适用于其他版本的 Microsoft Excel。
但是，使用 regsvr32.exe 命令或“rundll32 name.xll,xlAutoOpen”命令手动执行 DLL 会将 wget.exe 程序解压缩到%UserProfile% 文件夹，并使用它从远程站点下载 RedLine 二进制文件。

http://hackernews.cc/wp-content/uploads/2021/12/04ff6bed15a79f6b31d52438244f9ce-453x600.jpg

这个恶意的二进制文件保存为% UserProfile% JavaBridge32.exe [ VirusTotal] 然后被执行。一个注册自动运行条目也将被创建，每次受害者登录 Windows都会自动启动信息窃取软件 ReadLine。

http://hackernews.cc/wp-content/uploads/2021/12/2c6b1261d03e30e99cdc828cf4026cf-600x258.jpg

一旦恶意软件被执行，它将搜索有价值的数据来窃取，包括存储在 Chrome、Edge、Firefox、Brave 和 Opera 浏览器中的凭据和信用卡。

由于 XLL 文件是可执行文件，攻击者可以使用它们在设备上执行各种恶意行为。因此，如果你收到这个文件，除非它来自受信任的来源，否则你绝不能打开它。
这些文件通常不作为附件发送，而是通过另一个程序或通过您的 Windows 管理员安装。
因此，如果您收到分发这些类型文件的电子邮件或其他消息，只需删除该消息并将其报告为垃圾邮件即可。

消息来源：BleepingComputer，译者：Zoeppo；

本文由 HackerNews.cc 翻译整理，封面来源于网络；
转载请注明“转自 HackerNews.cc ” 并附上原文链接