Вредоносные файлы Excel запускают вредоносное ПО для похищения паролей

Совершенно новая группа вредоносных программ распространяет вредоносное ПО через грамотно составленные файлы Microsoft Excel. Вредоносные офисные документы на удивление сложно обнаружить и представляют значительный риск.

Новую группу злоумышленников назвали Epic Manchego исследователи безопасности, работающие с NVISO Labs, которые их обнаружили. Группа действует с середины лета 2020 года и пытается проникнуть в корпоративные сети по всему миру, используя фишинговые электронные письма, содержащие вредоносные файлы Excel .

Причина, по которой вредоносные файлы Excel имеют такой удивительно низкий уровень обнаружения, заключается в том, что они не были созданы и сохранены с помощью MS Office. Вместо этого электронные таблицы были скомпилированы с использованием необычной библиотеки .NET под названием EPPlus. Проект EPPlus имеет открытый исходный код и может экспортировать данные из приложений в файлы Excel, среди других форматов электронных таблиц. По словам исследователей, файлы, скомпилированные с помощью EPPlus, использовали формат Open Office XML. Однако в файлах не было раздела скомпилированного кода Visual Basic для приложений, который характерен для электронных таблиц, сохраненных через MS Office.

Обнаружение сбоев в коде VBA в настраиваемом формате

Это просто фрагмент кода VBA, который некоторые антивирусные инструменты используют для поиска макросов и вредоносного содержимого в файлах Excel. Поскольку этот потенциально подозрительный бит отсутствует и используется в качестве маркера средствами защиты от вредоносных программ, оказалось, что файлы имеют удивительно высокий уровень уклонения. Мошенники из Epic Manchego использовали свой собственный формат для вредоносного кода VBA и даже сделали код нечитаемым без пароля, так что антивирусные инструменты, которые попытаются его сканировать, упадут в стену.

Несмотря на то, что хакеры использовали другой носитель вредоносного компонента, пользовательский бит файлов по-прежнему содержал вредоносные макросы. Процесс такой же, как и с обычными зараженными офисными файлами - пользователю предлагается разрешить выполнение макроса, нажав кнопку сразу после открытия файла. Разрешение макросов запускает вредоносный сценарий и загружает полезные данные, которые затем выполняются.

Полезные нагрузки, которые, как обнаружили исследователи, использовались во вредоносных файлах Excel, представляли собой ряд известных троянцев-кражителей информации, таких как Matiex, njRat и Azorult. Те действуют, очищая данные для входа в систему из браузеров и программного обеспечения жертвы и возвращая ее злоумышленникам.

Пользовательский код, использованный в атаке, позволил исследователям просмотреть предыдущие обнаружения и подозрительные документы Excel. Открытие, сделанное NVISO Labs, показало, что Epic Manchego действует по крайней мере с конца июня 2020 года и что злоумышленники неуклонно совершенствуют свои методы, а это означает, что в будущем они могут продолжать использовать новые и более изощренные атаки.