恶意Excel文件执行盗窃密码的恶意软件
一个崭新的恶意软件组通过巧妙地组合在一起的Microsoft Excel文件来传播恶意软件。令人难以置信的是,恶意Office文档很难被发现并带来巨大风险。
与NVISO Labs合作的安全研究人员将新的不良行为者命名为Epic Manchego,他们发现了这些不良行为者。该小组自2020年夏中以来一直活跃,并一直在尝试使用携带恶意Excel文件的网络钓鱼电子邮件渗透到全球的公司网络。
恶意Excel文件的检测率如此之低的原因是,它们不是使用MS Office创建和保存的。相反,电子表格是使用称为EPPlus的罕见.NET库进行编译的。 EPPlus项目是开源的,可以从应用程序中以Excel文件以及其他电子表格格式导出数据。据研究人员称,使用EPPlus编译的文件使用Open Office XML格式。但是,这些文件没有特定于通过MS Office保存的电子表格的已编译Visual Basic for Applications代码部分。
自定义格式的VBA代码跳闸检测
许多防病毒工具仅使用那部分VBA代码在Excel文件中查找宏和恶意内容。由于缺少此潜在可疑位并被反恶意软件工具用作标记,因此文件逃逸率出乎意料地高。 Epic Manchego的骗子使用了他们自己的自定义格式来处理恶意VBA代码,甚至使该代码在没有密码的情况下也无法读取,因此试图对其进行扫描的AV工具会碰壁。
尽管黑客使用的恶意组件使用的工具不同,但文件的自定义位仍然包含恶意宏。该过程与常规感染Office文件的过程相同-打开文件后,立即单击按钮,提示用户允许宏执行。允许宏执行恶意脚本并下载有效负载,然后将其执行。
研究人员发现,与恶意Excel文件一起使用的有效载荷是许多已知的信息窃取木马,例如Matiex,njRat和Azorult。这些行为是通过从受害者的浏览器和软件中抓取登录信息并将其反馈给不良行为者来进行的。
攻击中使用的自定义代码使研究人员可以回顾以前的检测结果和可疑的Excel文档。 NVISO Labs的发现表明,Epic Manchego至少从2020年6月下旬开始就很活跃,并且不良行为者一直在稳步改进其方法,这意味着将来它们可能会继续遭受更新,更复杂的攻击。