Киберпреступники используют макрос Excel 4.0 для распространения вредоносного ПО

Дата: 28.04.2021. Автор: Артем П. Категории: Новости по информационной безопасности
Киберпреступники используют макрос Excel 4.0 для распространения вредоносного ПО

ИБ-специалисты компании ReversingLabs провели исследование, по результатам которого было установлено, что киберпреступники стали активнее использовать документы MS Excel 4.0 в качестве начального вектора распространения вредоносного ПО ZLoader и Quakbot.

В процессе проведения работы исследователи проверили около 160 тыс. документов MS Excel 4.0, около 90% из которых были отнесены к категориям «подозрительных» и «вредоносных».

«Наибольший риск для компаний и для физических лиц заключается в том, что у актуальных решений по защите и безопасности по-прежнему есть серьезные проблемы с выявлением вредоносных документов MS Excel 4.0, поэтому мимо современных средств защиты проходит огромное количество вредоносное ПО, попадающего во внутренние сети компаний и частных лиц», – отмечают специалисты ReversingLabs.

Макросы MS Excel 4.0 (XLM), будучи предшественником Visual Basic для приложений (VBA), являются устаревшей функцией, которая была добавлена в MS Excel по причине обратной совместимости. В официальных документах корпорация Microsoft предупреждает пользователей, что включение всех макросов может вызывать запуск «потенциально опасного кода».

Quakbot (более известен сейчас как Qbot) – постоянно развивающийся вредонос, который был открыт в 2007 году. Он остаётся печально известным банковским трояном, который похищает банковские учетные данные и другую платежную информацию. Варианты вредоносного ПО Qbot, которые распространяются через фишинговые письма и вредоносные документы, также могут доставлять на устройство пользователей другие вредоносные программы. Троян способен регистрировать нажатия клавиш пользователей и создавать бэкдор для взломанных устройств.

В исследовании ReversingLabs говорится о том, что вредоносное ПО Qbot не только обманом заставляет пользователей включать макросы в Excel под различными предлогами, но и поставляется вместе со встроенными файлами, которые содержат макросы XLM, загружающие и выполняющие полезную вредоносную нагрузку второго уровня, полученную с удаленного сервера злоумышленников.

«Несмотря на то, что обратная совместимость – крайне важная практика, у некоторых функций должен быть определенный срок службы. Поэтому, если говорить с точки зрения безопасности, наверное, было бы лучше, если бы в какой-то момент небезопасные функции объявлялись бы устаревшими и никогда бы больше не использовались», – отметили исследователи ReversingLabs.

Артем П

Об авторе Артем П

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *