惡意Excel文件執行盜竊密碼的惡意軟件
一個嶄新的惡意軟件組通過巧妙地組合在一起的Microsoft Excel文件來傳播惡意軟件。令人難以置信的是,惡意Office文檔很難被發現並帶來巨大風險。
與NVISO Labs合作的安全研究人員將新的不良行為者命名為Epic Manchego,他們發現了這些不良行為者。該小組自2020年夏中以來一直活躍,並一直在嘗試使用攜帶惡意Excel文件的網絡釣魚電子郵件滲透到全球的公司網絡。
惡意Excel文件的檢測率如此之低的原因是,它們不是使用MS Office創建和保存的。相反,電子表格是使用稱為EPPlus的罕見.NET庫進行編譯的。 EPPlus項目是開源的,可以從應用程序中以Excel文件以及其他電子表格格式導出數據。據研究人員稱,使用EPPlus編譯的文件使用Open Office XML格式。但是,這些文件沒有特定於通過MS Office保存的電子表格的已編譯Visual Basic for Applications代碼部分。
自定義格式的VBA代碼跳閘檢測
許多防病毒工具僅使用那部分VBA代碼在Excel文件中查找宏和惡意內容。由於缺少這些潛在可疑的位,並被反惡意軟件工具用作標記,因此文件的逃逸率令人驚訝地高。 Epic Manchego的騙子使用了他們自己的自定義格式來處理惡意VBA代碼,甚至使該代碼在沒有密碼的情況下也無法讀取,因此試圖對其進行掃描的AV工具會碰壁。
儘管黑客使用的惡意組件使用的工具不同,但文件的自定義位仍然包含惡意宏。該過程與常規感染Office文件的過程相同-打開文件後,立即單擊按鈕,提示用戶允許宏執行。允許宏執行惡意腳本並下載有效負載,然後將其執行。
研究人員發現,與惡意Excel文件一起使用的有效載荷是許多已知的信息竊取木馬,例如Matiex,njRat和Azorult。這些行為是通過從受害者的瀏覽器和軟件中抓取登錄信息並將其反饋給不良行為者來進行的。
攻擊中使用的自定義代碼使研究人員可以回顧以前的檢測結果和可疑的Excel文檔。 NVISO Labs的發現表明,Epic Manchego至少從2020年6月下旬開始就很活躍,並且不良行為者一直在穩步改進其方法,這意味著將來它們可能會繼續遭受更新,更複雜的攻擊。