Des fichiers Excel malveillants exécutent des logiciels malveillants de vol de mot de passe
Un tout nouveau groupe de malwares propage des malwares via des fichiers Microsoft Excel intelligemment assemblés. Les documents de bureau malveillants sont étonnamment difficiles à détecter et présentent un risque important.
Le nouveau groupe de mauvais acteurs a été nommé Epic Manchego par les chercheurs en sécurité travaillant avec NVISO Labs qui les ont découverts. Le groupe est actif depuis le milieu de l'été 2020 et tente d'infiltrer les réseaux d'entreprises du monde entier à l'aide d'e-mails de phishing contenant les fichiers Excel malveillants .
La raison pour laquelle les fichiers Excel malveillants ont des taux de détection si étonnamment bas est qu'ils n'ont pas été créés et enregistrés à l'aide de MS Office. Au lieu de cela, les feuilles de calcul ont été compilées à l'aide d'une bibliothèque .NET rare appelée EPPlus. Le projet EPPlus est open-source et peut exporter des données à partir d'applications dans des fichiers Excel, entre autres formats de feuille de calcul. Selon les chercheurs, les fichiers compilés avec EPPlus utilisaient le format Open Office XML. Toutefois, les fichiers ne contenaient pas de section de code Visual Basic pour Applications compilé propre aux feuilles de calcul enregistrées via MS Office.
Détection de déclenchement de code VBA au format personnalisé
C'est juste ce morceau de code VBA qu'un certain nombre d'outils antivirus utilisent pour trouver des macros et du contenu malveillant dans des fichiers Excel. Avec ce bit potentiellement suspect manquant et utilisé comme marqueur par des outils anti-programme malveillant, les fichiers se sont avérés avoir des taux d'évasion étonnamment élevés. Les escrocs d'Epic Manchego ont utilisé leur propre format personnalisé pour le code VBA malveillant et ont même rendu le code illisible sans mot de passe, de sorte que les outils audiovisuels qui essaieraient de le scanner heurteraient un mur.
Malgré le véhicule différent du composant malveillant utilisé par les pirates, le bit personnalisé des fichiers contenait toujours des macros malveillantes. Le processus est le même que pour les fichiers bureautiques infectés normaux - l'utilisateur est invité à autoriser l'exécution des macros en cliquant sur un bouton immédiatement après l'ouverture du fichier. Autoriser les macros exécute le script malveillant et télécharge la charge utile, qui est ensuite exécutée.
Les charges utiles que les chercheurs ont trouvées utilisées avec les fichiers Excel malveillants étaient un certain nombre de chevaux de Troie voleurs d'informations connus tels que Matiex, njRat et Azorult. Ceux-ci agissent en récupérant les informations de connexion des navigateurs et des logiciels de la victime et en les renvoyant aux mauvais acteurs.
Le code personnalisé utilisé dans l'attaque a permis aux chercheurs de revenir sur les détections précédentes et les documents Excel suspects. La découverte faite par NVISO Labs a montré qu'Epic Manchego était actif depuis au moins fin juin 2020 et que les mauvais acteurs amélioraient régulièrement leurs méthodes, ce qui signifie qu'ils pourraient continuer à proposer des attaques plus récentes et plus sophistiquées à l'avenir.