Зловред использует библиотеку .NET для создания документов Excel для обхода проверки безопасности

Фото: Pixabay

Обнаруженная исследователями безопасности из NVISO Labs, эта группа вредоносных программ, действует с июня и атакует компании по всему миру с помощью фишинговых писем, содержащих вредоносный документ Excel. Малварь получила название Epic Manchego. 

В компании NVISO сообщают, что измененные файлы — это не ваши стандартные электронные таблицы Excel. Вредоносные файлы Excel обходили сканеры безопасности и имели низкий уровень обнаружения, сообщает ZDNet.  

Это произошло потому, что документы были скомпилированы не в стандартном программном обеспечении Microsoft Office, а в библиотеке .NET под названием  EPPlus.

Разработчики обычно используют эту библиотечную часть своих приложений для добавления функций «Экспорт в Excel» или «Сохранить как электронную таблицу». Библиотека может использоваться для создания файлов в широком спектре форматов электронных таблиц и даже поддерживает Excel 2019.

В NVISO утверждают, что группа Epic Manchego, похоже, использовала EPPlus для создания файлов электронных таблиц в формате Office Open XML (OOXML).

В файлах электронных таблиц OOXML, созданных Epic Manchego, не хватало раздела скомпилированного кода VBA, специфичного для документов Excel, скомпилированных в проприетарном программном обеспечении Microsoft Office.

Некоторые антивирусные продукты и сканеры электронной почты специально ищут эту часть кода VBA для поиска возможных признаков вредоносных документов Excel, что объясняет, почему электронные таблицы, созданные группой Epic Manchego, имеют более низкие показатели обнаружения, чем другие вредоносные файлы Excel.

В этом большом двоичном объекте скомпилированного кода VBA обычно хранится вредоносный код злоумышленника. Однако это не означает, что файлы были чистыми. NVISO сообщает, что Epic Manchego просто хранила свой вредоносный код в специальном формате кода VBA, который также был защищен паролем, чтобы системы безопасности и исследователи не могли анализировать его содержимое.

Но, несмотря на использование другого метода для создания своих вредоносных документов Excel, файлы электронных таблиц на основе EPPlus по-прежнему работали, как и любой другой документ Excel. 

Вредоносные документы (также называемые  maldocs ) по-прежнему содержали вредоносный макрос-скрипт. Если пользователи, открывшие файлы Excel, разрешили выполнение сценария (нажав кнопку «Разрешить редактирование»), макросы загрузили бы и установили вредоносное ПО в системах жертвы.

Это могли быть классические троянские программы-инфостилеры, такие как Azorult, AgentTesla, Formbook, Matiex и njRat, которые сбрасывают пароли из браузеров, электронных писем и FTP-клиентов пользователя и отправляли их на серверы Epic Machengo.

В NVISO заявили, что обнаружили более 200 вредоносных файлов Excel, связанных с Epic Manchego, причем первый из них датируется 22 июня этого года.

Как писал Startpack, ранее стало известно маскирующиеся под файлы Microsoft Office зловреды атакуют в 2020 году на 176% чаще.