Excel文档是十分常见的办公软件,一旦被黑客盯上,足以让大批量的用户中招。用相同的Excel文档混淆用户视线,表面“波澜不惊”,实则“暗藏危机”。
近期,NVISO Labs的安全研究人员发现一个新型恶意软件团伙利用一个新威廉希尔官方网站 生成Excel文件,无需使用Microsoft Office即可创建包含大量宏的Excel工作簿,这些恶意Excel文件比较难被检测到,可绕过系统的安全检测。
该恶意组织团伙名为“Epic Manchego”,自6月起,一直有所动作,主要活动是在世界范围内,向企业发送带有恶意Excel的网络钓鱼邮件。
这些Excel文件暗藏“猫腻”,不是人们使用的常规的表格文件,它们可绕过安全扫描程序,检测率较低。
恶意表格文件由EPPlus编译
这些恶意Excel文件也是“出身不凡”,它们并不是在常规的Microsoft Office软件中编译的,而是在带有EPPlus的.NET库中编译的。开发人员会使用该库来添加“导出为Excel”或“另存为电子表格”的功能,简单来说,可用来生成多种电子表格格式的文件,甚至支持Excel 2019。
“当我们注意到恶意文件没有经过编译的代码,并且也缺少Office元数据时,我们很快想到了EPPlus。该库还将创建OOXML文件,而无需编译VBA代码和Office元数据。”安全研究团队在报告中写到。
Epic Manchego利用该库中的EPPlus来生成Office Open XML(OOXML)格式的电子表格文件。Epic Manchego生成的OOXML电子表格文件缺少一部分已编译的VBA代码,该代码专门用于在Microsoft专有Office软件中编译的Excel文档。
OOXML文件格式是一种开放包装约定(OPC)格式:一种ZIP容器,主要包含XML文件,可能还包含二进制文件。它最初是由Microsoft在Office 2007发行版中引入的。OOXML电子表格使用扩展名.xlsx和.xlsm(用于带有宏的电子表格)。
使用EPPlus创建VBA项目时,它不包含已编译的VBA代码。EPPlus没有创建编译代码的方法:创建编译VBA代码的算法是Microsoft专有的。
杀毒软件则是通过查找VBA代码这一部分来实现恶意Excel文件检测功能,由此可以解释为什么Epic Manchego生成的恶意Excel文件检测率低于其他恶意Excel文件了。
已编译的VBA代码可以存储攻击者的恶意代码。比如Epic Manchego以自定义VBA代码格式存储了他们的恶意代码,该格式也受到密码保护,以防止安全系统和研究人员分析其内容。
尽管生成恶意Excel的文件的方式不同,但是由EPPlus生成的电子表格仍然可以像正常Excel文档那样工作。这让用户很难辨别和发现Excel表格的异样了。
自6月起,该恶意文档的运营商开始活跃,其中包含恶意宏脚本。如果打开Excel文件的用户允许执行脚本(通过单击“启用编辑”按钮),那么宏将在目标用户的系统中下载并安装恶意软件。
下载的恶意程序大多是那些经典的窃密木马,比如Azorult、AgentTesla、Formbook、Matiex、和njRat,这些木马程序可以将用户浏览器、电子邮件和FTP客户端的密码转储,并将这些发送到Epic Manchego的服务器中。
安全研究团队NVISO表示,他们发现了200多个链接到Epic Manchego的恶意Excel文件,第一个可追溯到今年6月22日。
责编AJX
-
黑客
+关注
关注
3文章
284浏览量
21861 -
Excel
+关注
关注
4文章
218浏览量
55526 -
网络攻击
+关注
关注
0文章
331浏览量
23452
发布评论请先 登录
相关推荐
评论