Arquivos maliciosos do Excel executam malware para roubo de senha
Um novo grupo de malware está espalhando malware por meio de arquivos do Microsoft Excel habilmente agrupados. Os documentos maliciosos de escritório são surpreendentemente difíceis de detectar e representam um risco significativo.
O novo grupo de atores mal-intencionados foi nomeado Epic Manchego pelos pesquisadores de segurança que trabalharam com a NVISO Labs que os descobriram. O grupo está ativo desde meados do verão de 2020 e tem tentado se infiltrar nas redes da empresa em todo o mundo usando e-mails de phishing que transportam arquivos Excel maliciosos .
A razão pela qual os arquivos maliciosos do Excel têm taxas de detecção surpreendentemente baixas é que eles não foram criados e salvos usando o MS Office. Em vez disso, as planilhas foram compiladas usando uma biblioteca .NET incomum chamada EPPlus. O projeto EPPlus é open-source e pode exportar dados de aplicativos em arquivos Excel, entre outros formatos de planilha. Segundo os pesquisadores, os arquivos compilados com o EPPlus usaram o formato Open Office XML. No entanto, os arquivos não tinham uma seção do código compilado do Visual Basic for Applications que fosse específico para planilhas salvas por meio do MS Office.
Código VBA com formatação personalizada dispara detecção
É apenas aquele pedaço de código VBA que várias ferramentas antivírus usam para localizar macros e conteúdo malicioso em arquivos do Excel. Com este bit potencialmente suspeito ausente e sendo usado como um marcador por ferramentas antimalware, os arquivos revelaram ter taxas de evasão surpreendentemente altas. Os vigaristas da Epic Manchego usaram seu próprio formato personalizado para o código malicioso do VBA e até mesmo tornaram o código ilegível sem uma senha, de modo que as ferramentas AV que tentassem fazer a varredura atingiriam a parede.
Apesar do veículo diferente para o componente malicioso usado pelos hackers, o bit personalizado dos arquivos ainda continha macros maliciosas. O processo é igual ao dos arquivos de escritório infectados normais - o usuário é solicitado a permitir que as macros sejam executadas clicando em um botão imediatamente após abrir o arquivo. Permitir macros executa o script malicioso e baixa a carga útil, que é então executada.
As cargas úteis que os pesquisadores descobriram usadas com os arquivos maliciosos do Excel foram uma série de cavalos de Tróia ladrões de informações, como Matiex, njRat e Azorult. Eles agem raspando informações de login dos navegadores e software da vítima e devolvendo-as aos malfeitores.
O código personalizado usado no ataque permitiu aos pesquisadores olhar para trás em detecções anteriores e documentos suspeitos do Excel. A descoberta feita pelo NVISO Labs mostrou que o Epic Manchego está ativo desde pelo menos o final de junho de 2020 e que os malfeitores têm aprimorado constantemente seus métodos, o que significa que eles podem continuar lançando ataques mais novos e sofisticados no futuro.
