Một nhóm phần mềm độc hại; đã tạo các tệp Excel độc hại với tỷ lệ phát hiện thấp và khả năng vượt qua hệ thống bảo mật cao. Nhóm này đã tấn công nhiều công ty trên thế giới bằng các tệp Excel độc hại mà nó tạo ra.
Những phương pháp mà tin tặc sử dụng để đột nhập vào hệ thống đôi khi có thể thực sự đáng ngạc nhiên. Một lần nữa, một trong những phương pháp đáng ngạc nhiên này đã được phát hiện. Nhóm phần mềm độc hại file Excel độc hại tạo. Mặc dù tỷ lệ phát hiện các tệp được tạo này khá thấp nhưng tỷ lệ vượt qua hệ thống bảo mật cũng cao không kém.
Được phát hiện bởi các nhà nghiên cứu bảo mật tại NVISO Lab Manchego sử thi Kể từ tháng 6, nhóm phần mềm độc hại này đã nhắm mục tiêu vào các công ty trên toàn thế giới bằng các email chứa các tệp Excel đang hoạt động và độc hại. Theo tuyên bố của NVISO, đây không phải là bảng tính Excel tiêu chuẩn. Những tệp Excel độc hại này có thể vượt qua máy quét bảo mật.
Tệp Excel có hại
Theo NVISO Lab, lý do họ có thể vượt qua các máy quét bảo mật là vì tiêu chuẩn Microsoft Office không phải với phần mềm của họ EPPlus Biên dịch chúng bằng thư viện .NET có tên .NET. Thư viện này có thể được sử dụng để tạo bảng ở nhiều định dạng và thậm chí còn hỗ trợ Excel 2019. NVISO cho biết các bảng Office Open XML (OOXML) do Epic Manchego tạo không bao gồm mã VBA được biên dịch dành riêng cho các tài liệu Excel được biên dịch trong phần mềm Microsoft Office.
Mã VBA được biên dịch này thường là nơi chứa mã độc của kẻ tấn công. NVISO tuyên bố rằng Epic Manchego lưu trữ mã độc ở định dạng VBA độc quyền. được mã hóaBằng cách này, anh ta tuyên bố rằng anh ta có thể vượt qua các hệ thống bảo mật và các nhà nghiên cứu phân tích nội dung. Ngoài ra, mặc dù một phương pháp khác được sử dụng để tạo các tài liệu Excel độc hại này, các bảng dựa trên EPPlus hoạt động giống như bất kỳ tài liệu Excel nào.
Tài liệu độc hại chứa mã macro độc hại. Nếu người dùng mở tệp Excel nhấp vào nút bật chỉnh sửa, các mã macro này sẽ tải xuống và cài đặt phần mềm độc hại trên máy tính của nạn nhân. Cuối cùng, những kẻ đánh cắp thông tin như Azorult, AgentTesla, Formbook, Matiex và njRat Virus ngựa thành Troy gửi trình duyệt, email và yêu cầu FTP của người dùng đến máy chủ của Epic Machengo.
Mặc dù việc sử dụng EPPlus để tạo các tệp Excel độc hại ban đầu mang lại lợi ích cho Epic Manchego nhưng về lâu dài, nó cũng có tác dụng chống lại nhóm. Các hoạt động trước đây của Epic Manchego có thể được theo dõi bằng cách quét các tệp Excel kỳ lạ. NVISO cũng hợp tác với nhóm Epic Manchego bằng phương pháp này. Hơn 200 file Excel độc hại liên quan Đã phát hiện. Tệp đầu tiên trong số này được phát hiện có ngày 22 tháng 6.
NVISO tuyên bố rằng nhóm đã có được kinh nghiệm về kỹ thuật này và sau cuộc tấn công đầu tiên, cả đòn tấn công của họ và sự phức tạp của các cuộc tấn công. cho biết họ đã tăng Ông cũng tuyên bố rằng những cuộc tấn công này có thể được sử dụng rộng rãi hơn trong tương lai.
Nguồn: https://www.zdnet.com/article/malware-gang-uses-net-library-to-generate-excel-docs-that-bypass-security-checks/
