一項新的研究表明,黑客越來越多地采用Excel 4.0文檔作為傳播ZLoader和Quakbot等惡意軟件的初始載體。
(圖片來源:thehackernews)
調查結果來自2020年11月至2021年3月期間對16萬份Excel 4.0文檔的分析,其中超過90%被歸類為惡意或可疑文檔。
ReversingLabs的研究人員在4月28號發表的一份報告中表示:“針對目標公司和個人而言,最大的威脅是現有的安全解決方案在檢測惡意Excel 4.0文檔時,仍然存在很多問題。這些問題大部分是由傳統的基于簽名的檢測和YARA規則造成的?!?/p>
(圖片來源:thehackernews)
Excel 4.0宏(XLM)是Visual Basic for Applications(VBA)的前身,由于向后兼容的原因,它是Microsoft Excel中的一項舊功能。Microsoft在其支持文檔中警告說,啟用所有宏可能會導致運行“潛在危險的代碼”。
(圖片來源:thehackernews)
自2007年被發現以來,不斷發展的Quakbot(又名QBOT)一直是臭名昭著的銀行木馬,能夠竊取銀行憑證和其他金融信息,同時還具有蠕蟲般的傳播功能。QakBot的變體通常是通過武器化的Office文檔進行傳播的,能夠為其他惡意軟件提供有效載荷,記錄用戶擊鍵,甚至為受感染機器創建后門。
在ReversingLabs分析的文檔中,該惡意軟件不僅用具有可信任的誘餌誘騙用戶啟用宏,而且還附帶了包含XLM宏的嵌入式文件,這些文件下載并執行從遠程服務器獲取的惡意第二階段有效負載。另一個示例在其中一張工作表中包含Base64編碼的有效負載,然后嘗試從不安全的URL下載其他惡意軟件。
研究人員指出:“即使向后兼容非常重要,但某些東西應該具有預期壽命。并且從安全角度來看,使用這種過時的技術帶來的安全風險約等于維護30年舊版宏的成本。”
題圖來源:https://thehackernews.com/2021/04/cybercriminals-widely-abusing-excel-40.html
及時掌握網絡安全態勢 盡在傻蛋網絡安全監測系統
本文來源:thehackernews
如涉及侵權,請及時與我們聯系,我們會在第一時間刪除或處理侵權內容。
電話:400-869-9193 負責人:張明