Pesquisadores observaram uma nova versão do JSSLoader RAT se espalhando por meio de arquivos maliciosos do Microsoft Excel.

Os invasores usaram e-mails de phishing carregados de anexos XLL/XLM como mecanismo de entrega. Se ativado, os arquivos XLL usam código malicioso dentro de uma função xlAutoOpen para inserir na memória.

Posteriormente, ele baixa uma carga útil de um servidor remoto e a executa como um novo processo por meio de uma chamada de API. A variante mais recente vem com algumas novas camadas de ofuscação para se manter escondida dos analistas de segurança.

Os invasores estão atualizando regularmente o User-Agent nos arquivos XLL para evitar o Endpoint Detection and Response (EDR), que combina as informações de detecção de toda a rede da organização.