Złośliwe pliki programu Excel Wykonują złośliwe oprogramowanie kradnące hasła

Zupełnie nowa grupa złośliwego oprogramowania rozpowszechnia złośliwe oprogramowanie za pomocą sprytnie połączonych plików Microsoft Excel. Złośliwe dokumenty biurowe są zaskakująco trudne do wykrycia i stanowią poważne zagrożenie.

Nowa grupa złych aktorów została nazwana Epic Manchego przez badaczy bezpieczeństwa współpracujących z NVISO Labs, którzy ją odkryli. Grupa działa od połowy lata 2020 roku i próbuje infiltrować sieci firmowe na całym świecie za pomocą wiadomości phishingowych zawierających złośliwe pliki Excela .

Powodem, dla którego złośliwe pliki Excela mają tak zaskakująco niskie wskaźniki wykrywalności, jest to, że nie zostały utworzone i zapisane przy użyciu pakietu MS Office. Zamiast tego, arkusze kalkulacyjne zostały skompilowane przy użyciu rzadkiej biblioteki .NET o nazwie EPPlus. Projekt EPPlus jest open source i może eksportować dane z aplikacji w plikach Excel, między innymi w formatach arkuszy kalkulacyjnych. Zdaniem naukowców pliki skompilowane za pomocą EPPlus wykorzystywały format Open Office XML. Jednak pliki nie zawierały sekcji skompilowanego kodu Visual Basic for Applications, który jest specyficzny dla arkuszy kalkulacyjnych zapisanych przez MS Office.

Wykrywanie wyzwalania kodu VBA o niestandardowym formacie

To tylko ten fragment kodu VBA, którego używa wiele narzędzi antywirusowych do znajdowania makr i złośliwej zawartości w plikach Excel. Ponieważ brakuje tego potencjalnie podejrzanego fragmentu i jest on używany jako marker przez narzędzia chroniące przed złośliwym oprogramowaniem, pliki okazały się zaskakująco wysokie. Oszuści z Epic Manchego wykorzystali własny niestandardowy format złośliwego kodu VBA, a nawet sprawili, że kod był nieczytelny bez hasła, więc narzędzia antywirusowe, które próbowałyby go zeskanować, uderzyły w ścianę.

Pomimo innego narzędzia dla szkodliwego komponentu używanego przez hakerów, niestandardowy fragment plików nadal zawierał złośliwe makra. Proces jest taki sam, jak w przypadku zwykłych zainfekowanych plików biurowych - użytkownik jest proszony o zezwolenie na wykonanie makr, klikając przycisk natychmiast po otwarciu pliku. Zezwolenie na makra powoduje wykonanie złośliwego skryptu i pobranie ładunku, który jest następnie wykonywany.

Ładunki, które badacze wykryli jako używane w złośliwych plikach Excela, to szereg znanych trojanów wykradających informacje, takich jak Matiex, njRat i Azorult. Działają one poprzez pobieranie danych logowania z przeglądarek i oprogramowania ofiary i przekazywanie ich złym aktorom.

Niestandardowy kod użyty w ataku pozwolił badaczom spojrzeć wstecz na poprzednie wykrycia i podejrzane dokumenty Excela. Odkrycie dokonane przez NVISO Labs pokazało, że Epic Manchego działa co najmniej od końca czerwca 2020 r., A źli aktorzy stale ulepszają swoje metody, co oznacza, że mogą pojawiać się w przyszłości z nowszymi, bardziej wyrafinowanymi atakami.