Skadliga Excel-filer kör skadlig programvara som stjäl lösenord

En helt ny malware-grupp sprider skadlig programvara genom smart sammanställda Microsoft Excel-filer. De skadliga kontordokumenten är förvånansvärt svåra att upptäcka och utgör en betydande risk.

Den nya gruppen dåliga skådespelare har fått namnet Epic Manchego av säkerhetsforskarna som arbetar med NVISO Labs som upptäckte dem. Gruppen har varit aktiv sedan mitten av sommaren 2020 och har försökt att infiltrera företagsnätverk över hela världen med phishing-e-postmeddelanden med de skadliga Excel-filerna .

Anledningen till att de skadliga Excel-filerna har så överraskande låga detekteringsgrader är att de inte skapades och sparades med MS Office. Istället sammanställdes kalkylarken med ett ovanligt .NET-bibliotek som heter EPPlus. EPPlus-projektet är öppen källkod och kan exportera data från applikationer i Excel-filer, bland annat kalkylarkformat. Enligt forskare använde filerna som sammanställts med EPPlus Open Office XML-format. Filerna hade emellertid inte en del av den sammanställda Visual Basic for Applications-koden som är speciell för kalkylblad som sparats via MS Office.

Anpassad formaterad VBA-kod utlöser upptäckt

Det är bara den biten av VBA-kod som ett antal antivirusverktyg använder för att hitta makron och skadligt innehåll i Excel-filer. Eftersom denna potentiellt misstänkta bit saknas och används som en markör av antimalwareverktyg, visade sig filerna ha överraskande höga undandragningshastigheter. Skurkarna från Epic Manchego använde sitt eget anpassade format för den skadliga VBA-koden och gjorde till och med koden oläslig utan lösenord, så att AV-verktyg som skulle försöka skanna den skulle träffa en vägg.

Trots det olika fordonet för den skadliga komponenten som används av hackarna innehöll den anpassade biten av filerna fortfarande skadliga makron. Processen är densamma som med vanliga infekterade kontorsfiler - användaren uppmanas att låta makron köras genom att klicka på en knapp direkt efter att filen har öppnats. Att tillåta makron kör det skadliga skriptet och hämtar nyttolasten, som sedan körs.

Nyttolasten som forskare fann använda med de skadliga Excel-filerna var ett antal kända infostjälande trojaner som Matiex, njRat och Azorult. De agerar genom att skrapa inloggningsinformation från offrets webbläsare och programvara och mata tillbaka den till de dåliga aktörerna.

Den anpassade koden som används i attacken gjorde det möjligt för forskare att se tillbaka på tidigare upptäckter och misstänkta Excel-dokument. Upptäckten gjord av NVISO Labs visade att Epic Manchego har varit aktiv sedan åtminstone i slutet av juni 2020 och att de dåliga aktörerna har förbättrat sina metoder stadigt, vilket innebär att de kan fortsätta komma med nyare, mer sofistikerade attacker i framtiden.

År Zaib
September 18, 2020
Computer Security
Svenska
September 18, 2020
Computer Security

Populära inlägg

Microsoft varnar statligt stödda hotaktörer använder AI i...

4 days sedan

Trojan Al11 Detektering av skadlig programvara

11 months sedan

Pinaview är en fullfjädrad adware-app

10 months sedan

Popup-fönster "Din iCloud hackas" och "Din iPhone har blivit...

7 months sedan

Vad är Lucky Ransomware?

7 months sedan

"American Express - Uppdatera din kontoinformation"...

6 months sedan
Svenska
Läser in...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Hem

Produkter

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Support

Hjälpfiler Vanliga frågor Downloads Inquiries & Support

Företag

Om oss Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Integritetspolicy Cookie Policy Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows är ett varumärke som tillhör Microsoft, registrerat i USA och andra länder.
Mac, iPhone, iPad och App Store är varumärken som tillhör Apple Inc., registrerade i USA och andra länder.
iOS är ett registrerat varumärke som tillhör Cisco Systems, Inc. och/eller dess dotterbolag i USA och vissa andra länder.
Android och Google Play är varumärken som tillhör Google LLC.