Kenkėjiški „Excel“ failai vykdo slaptažodžio vagystę

Visiškai nauja kenkėjiškų programų grupė platina kenkėjiškas programas, sumaniai sujungdama „Microsoft Excel“ failus. Kenkėjiškus biuro dokumentus stebėtinai sunku aptikti ir kelti didelę riziką.

Naują blogų veikėjų grupę saugos tyrėjai, dirbantys su juos atradusiais „NVISO Labs“, pavadino „Epic Manchego“. Grupė veikia nuo 2020 m. Vasaros vidurio ir bandė įsiskverbti į įmonių tinklus visame pasaulyje naudodama sukčiavimo el. Laiškus, kuriuose yra kenkėjiški „Excel“ failai .

Priežastis, kodėl kenkėjiškų „Excel“ failų aptikimo rodikliai yra tokie stebėtinai maži, yra ta, kad jie nebuvo sukurti ir išsaugoti naudojant „MS Office“. Vietoj to, skaičiuoklės buvo sudarytos naudojant neįprastą .NET biblioteką, vadinamą EPPlus. „EPPlus“ projektas yra atviro kodo ir gali eksportuoti duomenis iš programų „Excel“ failuose, be kitų skaičiuoklių formatų. Tyrėjų teigimu, naudojant „EPPlus“ surinkti failai naudojo „Open Office XML“ formatą. Tačiau failuose nebuvo sukompiliuoto „Visual Basic for Applications“ kodo skyriaus, kuris būtų skirtas būtent skaičiuoklėms, išsaugotoms per „MS Office“.

Pagal užsakymą suformatuotas VBA kodo aptikimas

Kaip tik tą VBA kodo dalį naudoja daugybė antivirusinių įrankių, kad „Excel“ failuose rastų makrokomandas ir kenkėjišką turinį. Trūkus šiam potencialiai įtartinamam bitui ir jį naudojant antimalware įrankių naudojamą žymeklį, pasirodė, kad failų vengimo lygis buvo stebėtinai didelis. „Epic Manchego“ sukčiai naudojo savo pasirinktą kenkėjiško VBA kodo formatą ir netgi padarė kodą neįskaitomą be slaptažodžio, kad AV įrankiai, kurie bandytų jį nuskaityti, patektų į sieną.

Nepaisant to, kad įsilaužėliai naudoja skirtingą kenkėjišką komponentą, pasirinktiniame failų bite vis tiek buvo kenkėjiškų makrokomandų. Procesas yra tas pats kaip ir naudojant įprastus užkrėstus biuro failus - vartotojas raginamas leisti makrokomandas vykdyti spustelėjus mygtuką iškart atidarius failą. Leidžiant makrokomandas, vykdomas kenkėjiškas scenarijus ir atsisiunčiama naudingoji apkrova, kuri tada vykdoma.

Tyrėjai nustatė, kad naudingi kroviniai buvo naudojami su kenksmingais „Excel“ failais. Tai buvo daugybė žinomų informacijos vogėjų Trojos arklys, tokių kaip „Matiex“, „njRat“ ir „Azorult“. Tie elgiasi nuskaitydami prisijungimo informaciją iš aukos naršyklių ir programinės įrangos bei perduodami ją blogiems veikėjams.

Atakoje naudojamas pritaikytas kodas leido tyrėjams pažvelgti į ankstesnius aptikimus ir įtartinus „Excel“ dokumentus. „NVISO Labs“ atliktas atradimas parodė, kad „Epic Manchego“ buvo aktyvus bent jau nuo 2020 m. Birželio pabaigos ir kad blogi veikėjai nuolat tobulino savo metodus, o tai reiškia, kad ateityje jie gali sulaukti vis naujesnių, sudėtingesnių išpuolių.