A rosszindulatú Excel fájlok jelszó-ellopó kártevőket hajtanak végre

Egy vadonatúj rosszindulatú programcsoport okosan összeállított Microsoft Excel fájlok révén terjeszti a rosszindulatú programokat. A rosszindulatú irodai dokumentumokat meglepően nehéz felismerni, és jelentős kockázatot jelentenek.

Az új rossz színészek csoportját az őket felfedező NVISO Labs-szal dolgozó biztonsági kutatók Epic Manchegónak nevezték el. A csoport 2020 nyár közepe óta aktív, és a rosszindulatú Excel fájlokat hordozó adathalász e-mailek segítségével próbál behatolni a vállalati hálózatokba szerte a világon.

Annak oka, hogy a rosszindulatú Excel fájlok ilyen meglepően alacsony észlelési arányúak, az az, hogy azokat nem az MS Office segítségével hozták létre és mentették. Ehelyett a táblázatokat egy EPPlus nevű, nem mindennapi .NET könyvtár segítségével állították össze. Az EPPlus projekt nyílt forráskódú, és exportálhat adatokat az alkalmazásokból Excel fájlokban, egyéb táblázatformátumok mellett. A kutatók szerint az EPPlusszal összeállított fájlok az Open Office XML formátumot használták. A fájlokban azonban nem volt olyan szakasz a lefordított Visual Basic for Applications kódból, amely az MS Office-on keresztül mentett táblázatokra vonatkozna.

Egyéni formátumú VBA kód felismerés

Éppen ez a darab VBA-kód, amelyet számos víruskereső eszköz használ arra, hogy makrókat és rosszindulatú tartalmat találjon az Excel fájlokban. Mivel hiányzik ez a gyanús bit, és a kártevőirtó eszközök jelölőként használják, kiderült, hogy a fájlok meglepően magas kijátszási arányt mutatnak. Az Epic Manchego szélhámosai a saját egyéni formátumukat használták a rosszindulatú VBA-kódhoz, és még a jelszót is olvashatatlanná tették, így a beolvasni próbáló AV-eszközök falnak ütköztek.

A hackerek által használt rosszindulatú komponensek eltérő járműve ellenére a fájlok egyedi bitjei mégis rosszindulatú makrókat tartalmaztak. A folyamat megegyezik a szokásos fertőzött irodai fájlokéval - a felhasználó a fájl megnyitása után azonnal egy gombra kattintva engedélyezi a makrók végrehajtását. A makrók engedélyezése végrehajtja a rosszindulatú parancsfájlt, és letölti a hasznos terhet, amelyet aztán végrehajtanak.

A kutatók által a rosszindulatú Excel fájloknál használt hasznos terhek számos ismert információ-lopó trójaiak voltak, például Matiex, njRat és Azorult. Azok úgy járnak el, hogy lekaparják a bejelentkezési információkat az áldozat böngészőiből és szoftvereiből, és visszajuttatják azokat a rossz szereplőknek.

A támadásban használt egyedi kód lehetővé tette a kutatók számára, hogy visszatekintsenek a korábbi észlelésekre és a gyanús Excel-dokumentumokra. Az NVISO Labs felfedezése azt mutatta, hogy az Epic Manchego legalább 2020 júniusának vége óta aktív, és hogy a rossz szereplők folyamatosan javítják módszereiket, ami azt jelenti, hogy a jövőben folyamatosan újabb, kifinomultabb támadásokkal járhatnak.