悪意のあるExcelファイルがパスワードを盗むマルウェアを実行する
まったく新しいマルウェアグループが、Microsoft Excelファイルを巧みに組み合わせてマルウェアを拡散しています。悪意のあるオフィス文書は意外にも検出が難しく、重大なリスクをもたらします。
悪役の新しいグループは、それらを発見したNVISO Labsと協力するセキュリティ研究者によってEpic Manchegoと名付けられました。このグループは2020年夏の中頃から活動を続けており、 悪意のあるExcelファイルを含むフィッシングメールを使用して世界中の企業ネットワークに侵入しようと試みています 。
悪意のあるExcelファイルの検出率が驚くほど低いのは、MS Officeを使用して作成および保存されていないためです。代わりに、スプレッドシートはEPPlusと呼ばれる珍しい.NETライブラリを使用してコンパイルされました。 EPPlusプロジェクトはオープンソースであり、スプレッドシート形式の中でも、アプリケーションからデータをExcelファイルにエクスポートできます。研究者によると、EPPlusでコンパイルされたファイルはOpen Office XML形式を使用していました。ただし、ファイルには、MS Officeを介して保存されたスプレッドシートに固有のコンパイル済みVisual Basic for Applicationsコードのセクションがありませんでした。
カスタム形式のVBAコードのトリップアップ検出
Excelファイルでマクロや悪意のあるコンテンツを見つけるために多くのウイルス対策ツールが使用するのは、VBAコードのチャンクです。この潜在的に疑わしいビットが見つからず、マルウェア対策ツールによってマーカーとして使用されているため、ファイルの回避率は驚くほど高いことが判明しました。 Epic Manchegoの詐欺師は、悪意のあるVBAコードに独自のカスタム形式を使用し、パスワードがないとコードを読み取れなくするため、コードをスキャンしようとするAVツールが壁にぶつかります。
ハッカーが使用する悪意のあるコンポーネントの手段はさまざまですが、ファイルのカスタムビットには依然として悪意のあるマクロが含まれていました。プロセスは、通常の感染したOfficeファイルの場合と同じです。ユーザーは、ファイルを開いた直後にボタンをクリックすることにより、マクロの実行を許可するように求められます。マクロを許可すると、悪意のあるスクリプトが実行され、ペイロードがダウンロードされて実行されます。
悪意のあるExcelファイルで使用されたことが発見されたペイロードは、Matiex、njRat、Azorultなどの既知の情報盗用型トロイの木馬でした。これらは、被害者のブラウザとソフトウェアからログイン情報をこすり取り、それを悪意のある人物にフィードバックすることによって機能します。
攻撃で使用されたカスタムコードにより、研究者は以前の検出と疑わしいExcelドキュメントを振り返ることができました。 NVISO Labsが行った発見は、Epic Manchegoが少なくとも2020年6月下旬から活動しており、悪意のある人物がメソッドを着実に改善していることを示しています。