In einem kurzen Vermerk auf der Microsoft-365-Roadmap erklärte der Hersteller, dass dieser Schritt eine Reaktion auf die steigende Anzahl von Malware-Angriffen in den letzten Monaten sei. Bereits im Juli 2022 hat Microsoft damit begonnen, VBA-Makros in Word, Excel und PowerPoint standardmäßig zu blockieren. Seitdem sind Hacker laut ESET dazu übergegangen, andere Optionen zu nutzen, wie beispielsweise LNK-Dateien und ISO- und RAR-Anhänge. Ebenso rückten Excel-XLL-Dateien in den Fokus von Kriminellen. Sicherheitsforscher haben festgestellt, dass deren Verwendung stark zugenommen hat.

XLL-Dateien sind eine Art von DLL-Dateien, die nur in Excel geöffnet werden. Sie ermöglichen es, Anwendungen von Drittanbietern und Tabellenkalkulationen um Funktionen zu erweitern. Wenn ein Benutzer in Excel eine Datei mit der Erweiterung ".XLL" im Windows Explorer öffnen möchte, versucht das System automatisch, Excel zu starten und die Datei zu öffnen. Daraufhin zeigt Excel eine Warnung über möglichen gefährlichen Code an, ähnlich wie beim Öffnen eines Office-Dokuments mit VBA-Makrocode. Und wie bei VBA-Makros ignorieren Benutzer oft diese Warnung.