Ondsindede Excel-filer udfører adgangskodestjæling af malware
En splinterny malware-gruppe spreder malware gennem smart sammensatte Microsoft Excel-filer. De ondsindede kontordokumenter er overraskende svære at opdage og udgør en betydelig risiko.
Den nye gruppe dårlige skuespillere er blevet navngivet Epic Manchego af sikkerhedsforskerne, der arbejder med NVISO Labs, der opdagede dem. Gruppen har været aktiv siden midten af sommeren 2020 og har forsøgt at infiltrere virksomhedsnetværk over hele kloden ved hjælp af phishing-e-mails med de ondsindede Excel-filer .
Årsagen til, at de ondsindede Excel-filer har så overraskende lave opdagelsesfrekvenser, er at de ikke blev oprettet og gemt ved hjælp af MS Office. I stedet blev regnearkene sammensat ved hjælp af et usædvanligt .NET-bibliotek kaldet EPPlus. EPPlus-projektet er open source og kan eksportere data fra applikationer i Excel-filer, blandt andre regnearkformater. Ifølge forskere brugte de filer, der blev samlet med EPPlus, Open Office XML-format. Filerne havde dog ikke en del af den kompilerede Visual Basic for Applications-kode, der er særlig beregnet på regneark, der er gemt gennem MS Office.
Brugerdefineret VBA-kode udløser detektion
Det er bare det stykke VBA-kode, som et antal antivirusværktøjer bruger til at finde makroer og ondsindet indhold i Excel-filer. Da denne potentielt mistænkelige bit manglede og blev brugt som en markør af antimalwareværktøjer, viste filerne sig at have overraskende høje unddragelsesrater. Skurkene fra Epic Manchego brugte deres eget brugerdefinerede format til den ondsindede VBA-kode og gjorde endda koden ulæselig uden en adgangskode, så AV-værktøjer, der forsøgte at scanne den, ramte en mur.
På trods af det forskellige middel til den ondsindede komponent, der blev brugt af hackerne, indeholdt den brugerdefinerede bit af filerne stadig ondsindede makroer. Processen er den samme som med almindelige inficerede kontorfiler - brugeren bliver bedt om at tillade makroer at udføre ved at klikke på en knap umiddelbart efter åbning af filen. Tilladelse af makroer udfører det ondsindede script og downloader nyttelasten, som derefter udføres.
Nyttelastene, som forskere fandt brugt sammen med de ondsindede Excel-filer, var et antal kendte info-stjæler-trojanske heste som Matiex, njRat og Azorult. De handler ved at skrabe loginoplysninger fra ofrets browsere og software og give dem tilbage til de dårlige skuespillere.
Den brugerdefinerede kode, der blev brugt i angrebet, gjorde det muligt for forskere at se tilbage på tidligere påvisninger og mistænkelige Excel-dokumenter. Opdagelsen foretaget af NVISO Labs viste, at Epic Manchego har været aktiv siden i det mindste i slutningen af juni 2020, og at de dårlige skuespillere støt har forbedret deres metoder, hvilket betyder, at de muligvis fortsætter med at komme med nyere og mere sofistikerede angreb i fremtiden.