Ondsinnede Excel-filer utfører skadelig programvare som stjeler med passord
En splitter ny malware-gruppe sprer malware gjennom smart sammensatte Microsoft Excel-filer. De ondsinnede kontordokumentene er overraskende vanskelig å oppdage og utgjør en betydelig risiko.
Den nye gruppen dårlige skuespillere har blitt kalt Epic Manchego av sikkerhetsforskerne som jobber med NVISO Labs som oppdaget dem. Gruppen har vært aktiv siden midten av sommeren 2020 og har forsøkt å infiltrere bedriftsnettverk over hele verden ved hjelp av phishing-e-poster som bærer de ondsinnede Excel-filene .
Årsaken til at de ondsinnede Excel-filene har så overraskende lave oppdagelsesfrekvenser, er at de ikke ble opprettet og lagret ved hjelp av MS Office. I stedet ble regnearkene samlet med et uvanlig .NET-bibliotek kalt EPPlus. EPPlus-prosjektet er åpen kildekode og kan eksportere data fra applikasjoner i Excel-filer, blant annet regnearkformater. Ifølge forskere brukte filene som ble samlet med EPPlus Open Office XML-format. Filene hadde imidlertid ikke en del av den sammensatte Visual Basic for Applications-koden som er spesiell for regneark lagret gjennom MS Office.
Tilpasset VBA-kode utløser deteksjon
Det er bare den delen av VBA-koden som en rekke antivirusverktøy bruker for å finne makroer og skadelig innhold i Excel-filer. Da denne potensielt mistenkelige biten manglet og ble brukt som en markør av antimalware-verktøy, viste filene seg å ha overraskende høye unnvikelsesrater. Skurkene fra Epic Manchego brukte sitt eget tilpassede format for den ondsinnede VBA-koden og til og med gjorde koden uleselig uten passord, slik at AV-verktøy som ville prøve å skanne den, traff en vegg.
Til tross for det forskjellige kjøretøyet for den ondsinnede komponenten som ble brukt av hackerne, inneholdt den tilpassede biten av filene fortsatt ondsinnede makroer. Prosessen er den samme som med vanlige infiserte kontorfiler - brukeren blir bedt om å tillate makroer å kjøre ved å klikke på en knapp umiddelbart etter at filen er åpnet. Å tillate makroer utfører det ondsinnede skriptet og laster ned nyttelasten, som deretter kjøres.
Nyttelastene som forskere fant brukt med de ondsinnede Excel-filene, var en rekke kjente infostjeler-trojanere som Matiex, njRat og Azorult. De handler ved å skrape påloggingsinformasjon fra offerets nettlesere og programvare og mate den tilbake til de dårlige skuespillerne.
Den tilpassede koden som ble brukt i angrepet tillot forskere å se tilbake på tidligere påvisning og mistenkelige Excel-dokumenter. Oppdagelsen gjort av NVISO Labs viste at Epic Manchego har vært aktiv siden i det minste sent i juni 2020, og at de dårlige skuespillerne har forbedret metodene sine stadig, noe som betyr at de kan fortsette å komme med nyere, mer sofistikerte angrep i fremtiden.
