File Excel dannosi eseguono malware che rubano password
Un nuovissimo gruppo di malware sta diffondendo malware attraverso file Microsoft Excel messi insieme in modo intelligente. I documenti d'ufficio dannosi sono sorprendentemente difficili da rilevare e rappresentano un rischio significativo.
Il nuovo gruppo di cattivi attori è stato chiamato Epic Manchego dai ricercatori di sicurezza che lavorano con NVISO Labs che li hanno scoperti. Il gruppo è attivo dalla metà dell'estate 2020 e ha tentato di infiltrarsi nelle reti aziendali in tutto il mondo utilizzando e-mail di phishing che trasportano i file Excel dannosi .
Il motivo per cui i file Excel dannosi hanno tassi di rilevamento così sorprendentemente bassi è che non sono stati creati e salvati utilizzando MS Office. Invece, i fogli di calcolo sono stati compilati utilizzando una libreria .NET non comune chiamata EPPlus. Il progetto EPPlus è open source e può esportare dati da applicazioni in file Excel, tra gli altri formati di fogli di calcolo. Secondo i ricercatori, i file compilati con EPPlus utilizzavano il formato XML Open Office. Tuttavia, i file non avevano una sezione di codice Visual Basic, Applications Edition compilato specifico per i fogli di calcolo salvati tramite MS Office.
Rilevamento scatti di codice VBA con formattazione personalizzata
È solo quel pezzo di codice VBA che una serie di strumenti antivirus utilizza per trovare macro e contenuti dannosi nei file Excel. Con questo bit potenzialmente sospetto mancante e utilizzato come marker dagli strumenti antimalware, i file si sono rivelati avere tassi di evasione sorprendentemente alti. I criminali di Epic Manchego hanno utilizzato il proprio formato personalizzato per il codice VBA dannoso e hanno persino reso il codice illeggibile senza password, in modo che gli strumenti AV che avrebbero tentato di scansionarlo avrebbero colpito un muro.
Nonostante il diverso veicolo per il componente dannoso utilizzato dagli hacker, il bit personalizzato dei file conteneva ancora macro dannose. Il processo è lo stesso dei normali file Office infetti: all'utente viene richiesto di consentire l'esecuzione delle macro facendo clic su un pulsante subito dopo l'apertura del file. Consentire le macro esegue lo script dannoso e scarica il payload, che viene quindi eseguito.
I payload che i ricercatori hanno trovato utilizzati con i file Excel dannosi erano una serie di noti Trojan per il furto di informazioni come Matiex, njRat e Azorult. Quelli agiscono raschiando le informazioni di accesso dai browser e dal software della vittima e restituendole ai cattivi attori.
Il codice personalizzato utilizzato nell'attacco ha consentito ai ricercatori di rivedere rilevamenti precedenti e documenti Excel sospetti. La scoperta fatta da NVISO Labs ha mostrato che Epic Manchego è attivo almeno dalla fine di giugno 2020 e che i cattivi attori hanno costantemente migliorato i loro metodi, il che significa che potrebbero continuare ad arrivare con attacchi più nuovi e sofisticati in futuro.
