Kimlik avı e-postalarında işlenmiş Excel dosyaları
Yeni keşfedilen kötü amaçlı bir yazılım çetesi, güvenlik sistemlerini atlatma şansı daha yüksek olan kötü amaçlı Excel dosyaları oluşturmak için akıllıca bir numara kullanmaya başladı.
Makale Yazarı Dr. Jakob Jung
NVISO Labs’taki güvenlik araştırmacıları tarafından keşfedilen ve Epic Manchego adını verdikleri kötü amaçlı yazılım çetesi, Haziran ayından bu yana faaliyet gösteriyor ve kötü amaçlı Excel belgesi içeren kimlik avı e-postalarıyla dünyanın dört bir yanındaki şirketleri hedef alıyor.
NVISO’ya göre, ancak bunlar standart Excel tablolarıdır. Kötü amaçlı Excel dosyaları, güvenlik tarayıcılarını atladı ve düşük algılama oranlarına sahipti. NVISO’ya göre bu, belgelerin standart Microsoft Office yazılımıyla değil, EPPlus adlı bir .NET kitaplığıyla oluşturulmasından kaynaklanıyordu.
Geliştiriciler genellikle uygulamalarının bu kitaplık bölümünü “Excel Olarak Dışa Aktar” veya “Elektronik Tablo Olarak Kaydet” işlevini eklemek için kullanırlar. Kitaplık, çeşitli elektronik tablo biçimlerinde dosyalar oluşturmak için kullanılabilir ve hatta Excel 2019’u destekler.
NVISO, Epic Manchego çetesinin, Office Open XML (OOXML) biçiminde elektronik tablo dosyaları oluşturmak için EPPlus’ı kullandığını söylüyor.
Epic Manchego tarafından oluşturulan OOXML elektronik tablo dosyalarında, Microsoft’un tescilli ofis yazılımında derlenen Excel belgelerine özgü derlenmiş VBA kodlarından bazıları yoktu.
Bazı virüsten koruma ürünleri ve e-posta tarayıcıları, kötü amaçlı Excel belgelerinin olası belirtilerini kontrol etmek için özellikle VBA kodunun bu bölümünü arar, bu da Epic Manchego çetesi tarafından yapılan elektronik tabloların neden diğerlerinden daha düşük algılama oranlarına sahip olduğunu açıklar kötü amaçlı Excel dosyaları.
Derlenen VBA kodları genellikle bir saldırganın kötü amaçlı kodunun depolandığı yerdir. Ancak bu, dosyaların temiz olduğu anlamına gelmez.
NVISO, Epic Manchego çetesinin kötü amaçlı kodlarını, güvenlik sistemlerinin ve araştırmacıların içeriğini analiz etmesini önlemek için parola korumalı özel bir VBA kodu biçiminde kaydettiğini söylüyor.
Ancak kötü amaçlı Excel belgelerini farklı bir yöntem kullanarak oluşturmuş olsalar bile, EPPlus tabanlı elektronik tablo dosyaları yine de diğer Excel belgeleri gibi çalıştı.
Kötü amaçlı Excel belgeleri (Maldocs olarak da adlandırılır) kötü amaçlı bir makro komut dosyası içerir. Excel dosyalarını açan kullanıcılar komut dosyasının çalışmasına izin verirse (“Düzenlemeyi Etkinleştir” düğmesini tıklayarak), makrolar kötü amaçlı yazılım indirir ve kurbanların sistemlerine yükler.
Son yükler, kullanıcıların tarayıcılarından, e-postalarından ve FTP istemcilerinden şifreleri çalan ve bunları Epicmachengo’nun sunucularına gönderen Azorult, AgentTesla, Formbook, Matiex ve njRat gibi klasik Infostealer Truva atlarıydı.
Kötü amaçlı Excel dosyalarını oluşturmak için EPPlus kullanma kararının bazı faydaları olabilir, ancak başlangıçta Epic Manchego’ya uzun vadede zarar verdi çünkü NVISO ekibinin önceki tüm işlemlerini çok kolay bir şekilde yapmasını sağladı. tuhaf görünümlü Excel belgelerini arayarak.
Sonunda NVISO, Epic Manchego ile ilişkili 200’den fazla kötü amaçlı Excel dosyası keşfettiğini ve ilki bu yılın 22 Haziran’ına dayandığını söyledi.
NVISO’ya göre, bu grup bu tekniği deniyor gibi görünüyor ve ilk saldırılardan bu yana hem faaliyetlerini hem de saldırılarının karmaşıklığını artırdılar, bu da bunun gelecekte daha geniş bir uygulama bulabileceğini düşündürüyor.
Yine de, NVISO araştırmacıları, kötü amaçlı yazılım gruplarının artık EPPlus kullanıyor olmasına tamamen şaşırmamıştı. Şirket, “Bu .NET kitaplığına aşinayız çünkü birkaç yıldır kırmızı ekibimiz ve sızma test edicilerimiz için kötü amaçlı belgeler (” Maldocs “) oluşturmak için kullanıyoruz” dedi.