Κακόβουλα αρχεία Excel Εκτελέστε κακόβουλο λογισμικό κλοπής κωδικού πρόσβασης
Μια ολοκαίνουργια ομάδα κακόβουλου λογισμικού διαδίδει κακόβουλο λογισμικό μέσω έξυπνα συγκεντρωμένων αρχείων Microsoft Excel. Τα κακόβουλα έγγραφα του γραφείου είναι εκπληκτικά δύσκολο να εντοπιστούν και να αποτελούν σημαντικό κίνδυνο.
Η νέα ομάδα κακών ηθοποιών ονομάστηκε Epic Manchego από τους ερευνητές ασφαλείας που συνεργάστηκαν με τα εργαστήρια NVISO που τα ανακάλυψαν. Η ομάδα δραστηριοποιείται από τα μέσα του καλοκαιριού 2020 και προσπαθεί να διεισδύσει σε δίκτυα εταιρειών σε όλο τον κόσμο χρησιμοποιώντας email ηλεκτρονικού "ψαρέματος" που μεταφέρουν τα κακόβουλα αρχεία Excel .
Ο λόγος για τον οποίο τα κακόβουλα αρχεία Excel έχουν τόσο εκπληκτικά χαμηλά ποσοστά ανίχνευσης είναι ότι δεν δημιουργήθηκαν και αποθηκεύτηκαν χρησιμοποιώντας το MS Office. Αντ 'αυτού, τα υπολογιστικά φύλλα συντάχθηκαν χρησιμοποιώντας μια ασυνήθιστη βιβλιοθήκη .NET που ονομάζεται EPPlus. Το έργο EPPlus είναι ανοιχτού κώδικα και μπορεί να εξάγει δεδομένα από εφαρμογές σε αρχεία Excel, μεταξύ άλλων μορφών υπολογιστικών φύλλων. Σύμφωνα με ερευνητές, τα αρχεία που συντάχθηκαν με το EPPlus χρησιμοποίησαν τη μορφή Open Office XML. Ωστόσο, τα αρχεία δεν είχαν μια ενότητα μεταγλωττισμένου κώδικα της Visual Basic for Applications που να είναι συγκεκριμένα σε υπολογιστικά φύλλα που έχουν αποθηκευτεί μέσω του MS Office.
Προσαρμοσμένη μορφή VBA Code Trips Up Detection
Είναι ακριβώς αυτό το κομμάτι του κώδικα VBA που χρησιμοποιούν ορισμένα εργαλεία προστασίας από ιούς για την εύρεση μακροεντολών και κακόβουλου περιεχομένου σε αρχεία Excel. Με αυτό το δυνητικά ύποπτο κομμάτι που λείπει και χρησιμοποιείται ως δείκτης από εργαλεία antimalware, τα αρχεία αποδείχθηκαν εκπληκτικά υψηλά ποσοστά διαφυγής. Οι απατεώνες του Epic Manchego χρησιμοποίησαν τη δική τους προσαρμοσμένη μορφή για τον κακόβουλο κώδικα VBA και έκαναν ακόμη και τον κωδικό δυσανάγνωστο χωρίς κωδικό πρόσβασης, έτσι ώστε τα εργαλεία AV που θα προσπαθούσαν να το σαρώσουν να χτυπήσουν σε έναν τοίχο.
Παρά το διαφορετικό όχημα για το κακόβουλο στοιχείο που χρησιμοποιούν οι χάκερ, το προσαρμοσμένο κομμάτι των αρχείων εξακολουθούσε να περιέχει κακόβουλες μακροεντολές. Η διαδικασία είναι ίδια με τα κανονικά μολυσμένα αρχεία γραφείου - ο χρήστης ζητά να επιτρέψει την εκτέλεση μακροεντολών κάνοντας κλικ σε ένα κουμπί αμέσως μετά το άνοιγμα του αρχείου. Επιτρέποντας μακροεντολές εκτελεί το κακόβουλο σενάριο και κατεβάζει το ωφέλιμο φορτίο, το οποίο στη συνέχεια εκτελείται.
Τα ωφέλιμα φορτία που οι ερευνητές βρήκαν ότι χρησιμοποιούνταν με τα κακόβουλα αρχεία του Excel ήταν μια σειρά από γνωστά Trojans info-stealer όπως το Matiex, το njRat και το Azorult. Αυτοί ενεργούν αποκόβοντας τις πληροφορίες σύνδεσης από τα προγράμματα περιήγησης και το λογισμικό του θύματος και τα επιστρέφουν στους κακούς ηθοποιούς.
Ο προσαρμοσμένος κώδικας που χρησιμοποιήθηκε στην επίθεση επέτρεψε στους ερευνητές να κοιτάξουν πίσω σε προηγούμενες ανιχνεύσεις και ύποπτα έγγραφα του Excel. Η ανακάλυψη της NVISO Labs έδειξε ότι η Epic Manchego ήταν ενεργή τουλάχιστον από τα τέλη Ιουνίου 2020 και ότι οι κακοί ηθοποιοί βελτιώνουν σταθερά τις μεθόδους τους, πράγμα που σημαίνει ότι ενδέχεται να συνεχίσουν να έρχονται με νεότερες, πιο εξελιγμένες επιθέσεις στο μέλλον.
