Schädliche Excel-Dateien führen Malware aus, die Kennwörter stiehlt

Eine brandneue Malware-Gruppe verbreitet Malware durch geschickt zusammengestellte Microsoft Excel-Dateien. Die böswilligen Office-Dokumente sind überraschend schwer zu erkennen und stellen ein erhebliches Risiko dar.

Die neue Gruppe schlechter Schauspieler wurde von den Sicherheitsforschern, die mit NVISO Labs zusammengearbeitet haben und sie entdeckt haben, Epic Manchego genannt. Die Gruppe ist seit Mitte Sommer 2020 aktiv und hat versucht, Unternehmensnetzwerke rund um den Globus mithilfe von Phishing-E-Mails mit den schädlichen Excel-Dateien zu infiltrieren.

Der Grund, warum die schädlichen Excel-Dateien so überraschend niedrige Erkennungsraten aufweisen, ist, dass sie nicht mit MS Office erstellt und gespeichert wurden. Stattdessen wurden die Tabellenkalkulationen mit einer ungewöhnlichen .NET-Bibliothek namens EPPlus kompiliert. Das EPPlus-Projekt ist Open Source und kann unter anderem Daten aus Anwendungen in Excel-Dateien exportieren. Laut Forschern verwendeten die mit EPPlus kompilierten Dateien das Open Office XML-Format. Die Dateien enthielten jedoch keinen Abschnitt mit kompiliertem Visual Basic für Applikationen-Code, der speziell für Tabellenkalkulationen gilt, die über MS Office gespeichert wurden.

Benutzerdefinierter VBA-Code löst die Erkennung aus

Es ist nur dieser Teil des VBA-Codes, den eine Reihe von Antiviren-Tools verwenden, um Makros und schädliche Inhalte in Excel-Dateien zu finden. Da dieses potenziell verdächtige Bit fehlt und von Anti-Malware-Tools als Marker verwendet wird, haben die Dateien überraschend hohe Ausweichraten. Die Gauner von Epic Manchego verwendeten ihr eigenes benutzerdefiniertes Format für den schädlichen VBA-Code und machten den Code sogar ohne Passwort unlesbar, sodass AV-Tools, die versuchen würden, ihn zu scannen, gegen eine Wand stoßen würden.

Trotz des unterschiedlichen Vehikels für die von den Hackern verwendete bösartige Komponente enthielt das benutzerdefinierte Bit der Dateien immer noch bösartige Makros. Der Vorgang ist der gleiche wie bei normalen infizierten Office-Dateien. Der Benutzer wird aufgefordert, die Ausführung von Makros zuzulassen, indem er unmittelbar nach dem Öffnen der Datei auf eine Schaltfläche klickt. Durch das Zulassen von Makros wird das schädliche Skript ausgeführt und die Nutzdaten heruntergeladen, die dann ausgeführt werden.

Die Nutzdaten, die Forscher mit den schädlichen Excel-Dateien gefunden haben, waren eine Reihe bekannter Info-Stealer-Trojaner wie Matiex, njRat und Azorult. Diese handeln, indem sie Anmeldeinformationen aus den Browsern und der Software des Opfers entfernen und diese an die schlechten Schauspieler zurückmelden.

Der im Angriff verwendete benutzerdefinierte Code ermöglichte es den Forschern, auf frühere Erkennungen und verdächtige Excel-Dokumente zurückzublicken. Die von NVISO Labs gemachte Entdeckung zeigte, dass Epic Manchego seit mindestens Ende Juni 2020 aktiv ist und dass die schlechten Schauspieler ihre Methoden stetig verbessert haben, was bedeutet, dass sie in Zukunft möglicherweise mit neueren, komplexeren Angriffen kommen werden.

Bis Zaib
September 18, 2020
Computer Security
Deutsch
September 18, 2020
Computer Security

Beliebte Beiträge

Microsoft warnt staatlich unterstützte Bedrohungsakteure vor...

vor 4 days

Trojan Al11 Malware-Erkennung

vor 11 months

Pinaview ist eine voll ausgestattete Adware-App

vor 10 months

Pop-ups „Ihre iCloud wird gehackt“ und „Ihr iPhone wurde...

vor 7 months

Was ist Lucky Ransomware?

vor 7 months

E-Mail-Betrug „American Express – Aktualisieren Sie Ihre...

vor 6 months
Deutsch
Lade...

Cyclonis Backup Details & Terms

Mit dem Free Basic Cyclonis Backup-Plan erhalten Sie 2 GB Cloud-Speicherplatz mit voller Funktionalität! Keine Kreditkarte benötigt. Benötigen Sie mehr Stauraum? Kaufen Sie noch heute einen größeren Cyclonis Backup-Plan! Um mehr über unsere Richtlinien und Preise zu erfahren, sehen SieNutzungsbedingungen, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.

Cyclonis Password Manager Details & Terms

KOSTENLOSE Testversion: 30-tägiges einmaliges Angebot! Für die kostenlose Testversion ist keine Kreditkarte erforderlich. Volle Funktionalität für die Dauer der kostenlosen Testversion. (Die volle Funktionalität nach der kostenlosen Testversion erfordert den Kauf eines Abonnements.) Um mehr über unsere Richtlinien und Preise zu erfahren, sehen Sie EULA, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.

Home

Produkte

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Unterstützung

Hilfe FAQs Downloads Anfragen & Support

Unternehmen

Über uns Kontaktiere uns Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Datenschutz-Bestimmungen Cookie-Richtlinie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows ist eine Marke von Microsoft, die in den USA und anderen Ländern eingetragen ist.
Mac, iPhone, iPad und App Store sind Marken von Apple Inc., eingetragen in den USA und anderen Ländern.
iOS ist eine eingetragene Marke von Cisco Systems, Inc. und/oder seinen verbundenen Unternehmen in den USA und bestimmten anderen Ländern.
Android und Google Play sind Marken von Google LLC.