Созданные с помощью библиотеки .NET документы Excel обходят проверки безопасности

Дата: 06.09.2020. Автор: Артем П. Категории: Новости по информационной безопасности
Созданные с помощью библиотеки .NET документы Excel обходят проверки безопасности

Обнаруженное семейство вредоносного ПО использует хитрый трюк для создания вредоносных файлов MS Excel с минимальной степенью обнаружения и повышенной вероятностью обхода систем безопасности.

Выявленное специалистами по информационной безопасности из NVISO Labs семейство вредоносного ПО, которое получило название Epic Manchego, «работает» с июня 2020 г. и атакует организации из разных стран с применением фишинговых email, содержащих измененный файл Excel. Но в NVISO Labs отметили, что это не обычные таблицы Excel – файлы Excel успешно обходят антивирусное ПО и редко обнаруживаются системами безопасности.

Эксперты установили, что файлы Excel были созданы не в обычной программе MS Office, а в библиотеке .NET под названием EPPlus.

В NVISO Labs говорят о том, что киберпреступная группировка Epic Manchego с высокой долей вероятности использовала EPPlus для формирования файлов Excel в формате Office Open XML (OOXML). В файлах OOXML, созданных хакерами, не было раздела скомпилированного кода VBA, характерного для файлов Excel, скомпилированных в традиционной программе Microsoft Office.

Ряд антивирусных решений и сканеры безопасности email стараются найти эту часть кода VBA для обнаружения вероятных признаков вредоносных файлов Excel, поэтому вполне понятно, по какой причине файлы Excel, созданные группировкой Epic Manchego, обладают минимальными показателями детектирования, в отличие от остальных вредоносов Excel.

Вредоносные файлы Excel имеют встроенный макрос. Жертвы, запустившие файлы Excel и разрешившие редактирование, сталкивались с тем, что макросы скачивали и устанавливали вирусное ПО в скомпрометированной системе.

Последними полезными нагрузками были традиционные трояны-инфостилеры – они необходимы для сброса авторизационных данных в веб-браузерах пользователей, почтовых сервисах и FTP-клиентах, и отправки их на серверы группировки Epic Manchego. В итоге в NVISO Labs указали на то, что обнаружено несколько сотен видов вредоносов Excel, которые связаны с Epic Manchego.  

Созданные с помощью библиотеки .NET документы Excel обходят проверки безопасности

Эксперты NVISO Labs отметила, что эта киберпреступная группа, скорее всего, экспериментирует с данной техникой, и с момента первых кибератак они увеличили как свою активность, так и изощренность атак.

Артем П

Об авторе Артем П

Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *