Microsoft បានសម្រេចចិត្តបិទកម្មវិធី Visual Basic for Application (VBA) macros ដោយdefault សម្រាប់ការដោនឡូតឯកសារ Office ចេញពីអុីនធឺណិត ដោយសារតែមានចំនួនកើនឡើងនៃការវាយប្រហារ នាពេលថ្មីៗនេះ។
បច្ចុប្បន្ន យោងតាម Cisco Talos ក្រុមហេគឃ័រ APT និងគ្រួសារមេរោគ malware កំពុងតែពេញនិយមប្រើឯកសារទម្រង់ Excel add-in (XLL) ជាវុិចទ័រចាប់ផ្តើមនៃការវាយប្រហារ។ ឯកសារ Office ត្រូវបានបញ្ជូនតាមរយៈអុីម៉ែលបោកបញ្ឆោត (spear-phishing) និងការវាយប្រហារផ្នែកវិស្វកម្មសង្គមផ្សេងៗ នៅតែជាចំណុចចូលប្រើដ៏ពេញនិយមរបស់ក្រុមឧក្រឹដ្ឋជន ។ ឯកសារទាំងនេះជម្រុញឱ្យជនរងគ្រោះបើក macro ដើម្បីមើលមាតិកា ដែលមើលទៅដូចជាគ្មានកំហុស។
ជួបនឹងការប្រើខុសនេះ អ្នកផលិតក្រុមហ៊ុន Windows បានធ្វើការផ្លាស់ប្តូរមួយ តាំងពីខែកក្កដា ឆ្នាំ២០២២ មកនោះគឺបិទម៉ាក្រូ (blocks macros) នៅក្នុងឯកសារភ្ជាប់របស់ Office នៅក្នុងអុីម៉ែល ដើម្បីកាត់បន្ថយហានិភ័យ។ ខណៈដែលការបិទនេះកំណត់ចំពោះតែជំនាន់ថ្មីនៃកម្មវិធី Access, Excel, PowerPoint, Visio, និង Word តែប៉ុណ្ណោះ ដូច្នេះហេគឃ័រកំពុងតែស្វែងរកផ្លូវផ្សេង ដើម្បីចម្លងមេរោគជំនួសវិញ។ បើយោងតាមក្រុមហ៊ុន Microsoft វិធីសាស្រ្តមួយដូចជា បង្វែរជាឯកសារ XLL files ជាប្រភេទនៃ dynamic link library (DLL) file អាចប្រើដោយ Excel។
XLL files អាចត្រូវបានផ្ញើដោយអុីម៉ែល និងអាចស្គេនប្រឆាំងមេរោគ អ្នកប្រើអាចបើកឯកសារទាំងនេះដោយមិនដឹងថាពួកវាមានផ្ទុកកូដអាក្រក់ទេ បើយោងតាមអ្នកស្រាវជ្រាវ Cisco Talos។ ក្រុមហ៊ុនសន្តិសុខបានថ្លែងថាៈ ហេគឃ័រកំពុងតែប្រើល្បាយនៃកម្មវិធីបន្ថែមសរសេរនៅក្នុង C++ ដែលបានអភិវឌ្ឍ ដោយប្រើ free tool មានឈ្មោះថា Excel-DNA មានការកើនឡើងកាលពីពាក់កណ្តាលឆ្នាំ២០២១ និងបន្តដល់ឆ្នាំនេះ។ មានឯកសារកត់ត្រាពីការប្រើប្រាស់ XLL របស់ហេគឃ័រ កាលពីឆ្នាំ២០១៧ នៅពេលក្រុម APT10 របស់ចិន (aka Stone Panda) បានប្រើបច្ចេកទេសនេះ ដើម្បីបញ្ចូលទ្វារក្រោយ ទៅក្នុងអង្គចងចាំ តាមរយៈចន្លោះប្រហោង។
Palo Alto Networks Unit 42 បានលើកឡើងពីការប្រើឯកសារ XLL file សម្រាប់ចែកចាយ Agent Tesla និង Dridex ថា វាប្រហែលជាបង្ហាញពីទំនោរថ្មីនៅក្នុងការវាយប្រហារ។ នៅពេលដែលអ្នកប្រើប្រាស់ចាប់យកកម្មវិធី Microsoft Office ជំនាន់ថ្មីនោះ ហេគឃ័រនឹងងាកចេញពីការប្រើឯកសារអាក្រក់ VBA ទៅជាទម្រង់ XLLs ឬក៏កេងប្រវញ្ចភាពងាយរងគ្រោះ ដើម្បីបញ្ចូលកូដអាក្រក់ទៅក្នុងដំណើរការនៃកម្មវិធី Office ជំនួសវិញ។
ជាងនេះទៀត មេរោគ Ekipa RAT ក្រៅពីបន្ថែម XLL Excel ហើយ វានៅទទួលបានការអភិវឌ្ឍបន្ថែមកាលពីខែវិច្ឆិកា ឆ្នាំ២០២២ ដោយវាអាចទាញយកផលប្រយោជន៍ពី Microsoft Publisher macros ដើម្បីបញ្ជាមេរោគ trojan ពីចម្ងាយ និងលួចព័ត៌មានរសើប។ មេរោគ Ekipa RAT គឺជាឧទាហរណ៍មួយនៃការចាប់យកបច្ចេកទេសឈានមុខ បើយោងតាមសំដីអ្នកស្រាវជ្រាវ។ អ្នកច្នៃប្រឌិតមេរោគនេះកំពុងតែផ្លាស់ប្តូរតិចនិច ដូចជាបិទម៉ាក្រូ និងចាប់យកយុទ្ធសាស្រ្តផ្សេង៕
