E’ dagli anni ’90 che lo sfruttamento delle macro di Excel rappresenta un metodo popolare tra gli hacker per compromettere sistemi informatici e anche attualmente una strada utilizzata per distribuire malware a utenti meno attenti agli aspetti della sicurezza informatica.
Nel corso del 2018 Microsoft ha lanciato la funzionalit Antimalware Scan Interface (AMSI) che, integrata con Office 365, riuscita con efficacia a scardinare gli occultamenti del malware macro, riuscendo cos ad esporre il codice ad attivit di controllo. In questo modo stato possibile porre un argine agli script macro dannosi realizzati in Visual Basic for Applications.
Microsoft, stretta sulle macro dannose di Excel: ora anche quelle in linguaggio XLM
Questo per ha portato gli autori di minacce come i famigerati Trickbot, Zloader e Ursnif a cercare altre funzionalit da sfruttare e hanno trovato in XLM un’alternativa percorribile. XLM un linguaggio ancor precedente a VBA e risale alla versione 4.0 di Excel del 1992. XLM stato sostituito da VBA nel 1993, ma rimane supportato in Excel perch da allora ancora utilizzato da alcuni clienti.
“Sebbene XLM sia pi rudimentale di VBA, sufficientemente potente da fornire l’interoperabilit con il sistema operativo e molte organizzazioni contininuano a sfruttare le sue funzionalit a scopi legittimi. I criminali informatici lo sanno e abusano delle macro XLM utilizzandole per richiamare le API Win32 ed eseguire comandi dalla shell” spiega Microsoft.
Se l’antivirus rileva una macro XLM dannosa, la macro non verr eseguita ed Excel verr terminato bloccando quindi l’attacco. Microsoft sottolinea che il suo anti-malware Defender sfrutta questa integrazione per rilevare e bloccare il malware basato su XLM e incoraggia altri fornitori di soluzioni anti-malware ad adottarlo. La funzionalit gi disponibile in Excel e abilitata di default nei February Current Channel e Monthly Enterprise Channel per gli abbonati ad Office 365
