Schadelijke Excel-bestanden voeren wachtwoordstelende malware uit

Een gloednieuwe malwaregroep verspreidt malware via slim samengestelde Microsoft Excel-bestanden. De kwaadaardige kantoordocumenten zijn verrassend moeilijk te detecteren en vormen een aanzienlijk risico.

De nieuwe groep slechte acteurs is Epic Manchego genoemd door de beveiligingsonderzoekers die samenwerken met NVISO Labs die ze hebben ontdekt. De groep is actief sinds het midden van de zomer van 2020 en heeft geprobeerd bedrijfsnetwerken over de hele wereld te infiltreren met behulp van phishing-e-mails met de kwaadaardige Excel-bestanden .

De reden waarom de kwaadaardige Excel-bestanden zo verrassend lage detectiepercentages hebben, is dat ze niet zijn gemaakt en opgeslagen met MS Office. In plaats daarvan werden de spreadsheets gecompileerd met behulp van een ongebruikelijke .NET-bibliotheek genaamd EPPlus. Het EPPlus-project is open-source en kan gegevens exporteren uit applicaties in Excel-bestanden, naast andere spreadsheetformaten. Volgens onderzoekers gebruikten de bestanden die met EPPlus werden samengesteld het Open Office XML-formaat. De bestanden hadden echter geen gedeelte van de gecompileerde Visual Basic for Applications-code die specifiek is voor spreadsheets die zijn opgeslagen via MS Office.

Op maat gemaakte VBA-code schakelt detectie uit

Het is precies dat stuk VBA-code dat een aantal antivirusprogramma's gebruikt om macro's en kwaadaardige inhoud in Excel-bestanden te vinden. Omdat dit potentieel verdachte bit ontbrak en als een marker werd gebruikt door antimalwaretools, bleken de bestanden verrassend hoge ontwijkingspercentages te hebben. De boeven van Epic Manchego gebruikten hun eigen aangepaste formaat voor de kwaadaardige VBA-code en maakten de code zelfs onleesbaar zonder wachtwoord, zodat AV-tools die het zouden proberen te scannen tegen een muur zouden slaan.

Ondanks het andere voertuig voor de kwaadaardige component die door de hackers wordt gebruikt, bevatte het aangepaste deel van de bestanden nog steeds kwaadaardige macro's. Het proces is hetzelfde als bij gewone geïnfecteerde Office-bestanden - de gebruiker wordt gevraagd om macro's uit te voeren door op een knop te klikken onmiddellijk na het openen van het bestand. Door macro's toe te staan, wordt het schadelijke script uitgevoerd en de payload gedownload, die vervolgens wordt uitgevoerd.

De payloads die onderzoekers vonden in combinatie met de kwaadaardige Excel-bestanden waren een aantal bekende info-stealer Trojaanse paarden, zoals Matiex, njRat en Azorult. Die handelen door inloggegevens uit de browsers en software van het slachtoffer te schrapen en terug te sturen naar de slechteriken.

Dankzij de aangepaste code die bij de aanval werd gebruikt, konden onderzoekers terugkijken naar eerdere detecties en verdachte Excel-documenten. De ontdekking van NVISO Labs toonde aan dat Epic Manchego actief is sinds ten minste eind juni 2020 en dat de slechte acteurs hun methoden gestaag hebben verbeterd, wat betekent dat ze in de toekomst met nieuwere, meer geavanceerde aanvallen kunnen blijven komen.

Tegen Zaib
September 18, 2020
Computer Security
Nederlands
September 18, 2020
Computer Security

Populaire posts

Microsoft waarschuwt dat door de staat gesteunde...

4 days geleden

Trojan Al11 malwaredetectie

11 months geleden

Pinaview is een volledig uitgeruste adware-app

10 months geleden

Pop-ups "Uw iCloud wordt gehackt" en "Uw iPhone is gehackt".

7 months geleden

Wat is Lucky-ransomware?

7 months geleden

'American Express - Update uw accountgegevens' E-mailfraude

6 months geleden
Nederlands
Bezig met laden...

Cyclonis Backup Details & Terms

Het gratis Basic Cyclonis Backup-abonnement geeft je 2 GB cloudopslagruimte met volledige functionaliteit! Geen kredietkaart nodig. Meer opslagruimte nodig? Koop vandaag nog een groter Cyclonis Backup-abonnement! Zie Servicevoorwaarden, Privacybeleid, Kortingsvoorwaarden en Aankooppagina voor meer informatie over ons beleid en onze prijzen. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Cyclonis Password Manager Details & Terms

GRATIS proefversie: eenmalige aanbieding van 30 dagen! Geen creditcard vereist voor gratis proefversie. Volledige functionaliteit voor de duur van de gratis proefperiode. (Volledige functionaliteit na gratis proefversie vereist aankoop van een abonnement.) Voor meer informatie over ons beleid en onze prijzen, zie EULA, Privacybeleid, Kortingsvoorwaarden en Aankooppagina. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Huis

Producten

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Ondersteuning

Help-bestanden Veelgestelde vragen Downloads Inquiries & Support

Bedrijf

Over ons Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Privacybeleid Cookie beleid Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows is een handelsmerk van Microsoft, geregistreerd in de VS en andere landen.
Mac, iPhone, iPad en App Store zijn handelsmerken van Apple Inc., geregistreerd in de VS en andere landen.
iOS is een gedeponeerd handelsmerk van Cisco Systems, Inc. en/of zijn dochterondernemingen in de Verenigde Staten en bepaalde andere landen.
Android en Google Play zijn handelsmerken van Google LLC.