Archivos de Excel malintencionados ejecutan software malicioso que roba contraseñas

Un nuevo grupo de malware está propagando malware a través de archivos de Microsoft Excel inteligentemente ensamblados. Los documentos de Office maliciosos son sorprendentemente difíciles de detectar y representan un riesgo significativo.

El nuevo grupo de malos actores ha sido nombrado Epic Manchego por los investigadores de seguridad que trabajan con NVISO Labs que los descubrieron. El grupo ha estado activo desde mediados del verano de 2020 y ha estado intentando infiltrarse en las redes de las empresas de todo el mundo utilizando correos electrónicos de phishing que contienen archivos de Excel maliciosos .

La razón por la que los archivos de Excel maliciosos tienen tasas de detección tan sorprendentemente bajas es que no se crearon ni guardaron con MS Office. En su lugar, las hojas de cálculo se compilaron utilizando una biblioteca .NET poco común llamada EPPlus. El proyecto EPPlus es de código abierto y puede exportar datos de aplicaciones en archivos de Excel, entre otros formatos de hojas de cálculo. Según los investigadores, los archivos compilados con EPPlus utilizaron el formato Open Office XML. Sin embargo, los archivos no tenían una sección de código compilado de Visual Basic para aplicaciones que sea particular de las hojas de cálculo guardadas a través de MS Office.

Detección de disparos de código VBA con formato personalizado

Es solo ese fragmento de código VBA que utilizan varias herramientas antivirus para encontrar macros y contenido malicioso en archivos de Excel. Con este bit potencialmente sospechoso faltante y siendo utilizado como marcador por herramientas antimalware, los archivos resultaron tener tasas de evasión sorprendentemente altas. Los ladrones de Epic Manchego usaron su propio formato personalizado para el código VBA malicioso e incluso hicieron que el código fuera ilegible sin una contraseña, de modo que las herramientas antivirus que intentaran escanearlo chocarían contra una pared.

A pesar del vehículo diferente para el componente malicioso utilizado por los piratas informáticos, el bit personalizado de los archivos aún contenía macros maliciosas. El proceso es el mismo que con los archivos de Office infectados habituales: se solicita al usuario que permita la ejecución de macros haciendo clic en un botón inmediatamente después de abrir el archivo. Permitir macros ejecuta el script malicioso y descarga la carga útil, que luego se ejecuta.

Las cargas útiles que los investigadores encontraron que se usaban con los archivos de Excel maliciosos eran varios troyanos robadores de información conocidos como Matiex, njRat y Azorult. Aquellos actúan extrayendo la información de inicio de sesión de los navegadores y el software de la víctima y devolviéndola a los malos.

El código personalizado utilizado en el ataque permitió a los investigadores mirar hacia atrás en detecciones anteriores y documentos de Excel sospechosos. El descubrimiento realizado por NVISO Labs mostró que Epic Manchego ha estado activo desde al menos finales de junio de 2020 y que los malos actores han mejorado constantemente sus métodos, lo que significa que podrían seguir llegando con ataques más nuevos y sofisticados en el futuro.

En Zaib
September 18, 2020
Computer Security
Spanish
September 18, 2020
Computer Security

Entradas populares

Microsoft advierte que los actores de amenazas respaldados por...

Hace 4 days

Troyano Al11 Detección de malware

Hace 11 months

Pinaview es una aplicación de adware con todas las funciones

Hace 10 months

Ventanas emergentes "Tu iCloud está siendo pirateado" y "Tu...

Hace 7 months

¿Qué es Lucky Ransomware?

Hace 7 months

Estafa por correo electrónico 'American Express - Actualice la...

Hace 6 months
Spanish
Cargando...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Productos

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Soporte

Archivos de ayuda Preguntas frecuentes Downloads Inquiries & Support

Empresa

Sobre Nosotros Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de privacidad Política de cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows es una marca comercial de Microsoft, registrada en EE. UU. Y otros países.
Mac, iPhone, iPad y App Store son marcas comerciales de Apple Inc., registradas en EE. UU. Y otros países.
iOS es una marca comercial registrada de Cisco Systems, Inc. y / o sus afiliadas en los Estados Unidos y algunos otros países.
Android y Google Play son marcas comerciales de Google LLC.