一項新的研究表明，黑客越來越多地采用Excel 4.0文檔作為傳播ZLoader和Quakbot等惡意軟件的初始載體。

（圖片來源：thehackernews）

調查結果來自2020年11月至2021年3月期間對16萬份Excel 4.0文檔的分析，其中超過90％被歸類為惡意或可疑文檔。

ReversingLabs的研究人員在4月28號發表的一份報告中表示：“針對目標公司和個人而言，最大的威脅是現有的安全解決方案在檢測惡意Excel 4.0文檔時，仍然存在很多問題。這些問題大部分是由傳統的基于簽名的檢測和YARA規則造成的?！?/p>

（圖片來源：thehackernews）

Excel 4.0宏（XLM）是Visual Basic for Applications（VBA）的前身，由于向后兼容的原因，它是Microsoft Excel中的一項舊功能。Microsoft在其支持文檔中警告說，啟用所有宏可能會導致運行“潛在危險的代碼”。

（圖片來源：thehackernews）

自2007年被發現以來，不斷發展的Quakbot（又名QBOT）一直是臭名昭著的銀行木馬，能夠竊取銀行憑證和其他金融信息，同時還具有蠕蟲般的傳播功能。QakBot的變體通常是通過武器化的Office文檔進行傳播的，能夠為其他惡意軟件提供有效載荷，記錄用戶擊鍵，甚至為受感染機器創建后門。

在ReversingLabs分析的文檔中，該惡意軟件不僅用具有可信任的誘餌誘騙用戶啟用宏，而且還附帶了包含XLM宏的嵌入式文件，這些文件下載并執行從遠程服務器獲取的惡意第二階段有效負載。另一個示例在其中一張工作表中包含Base64編碼的有效負載，然后嘗試從不安全的URL下載其他惡意軟件。

研究人員指出：“即使向后兼容非常重要，但某些東西應該具有預期壽命。并且從安全角度來看，使用這種過時的技術帶來的安全風險約等于維護30年舊版宏的成本。”

題圖來源：https://thehackernews.com/2021/04/cybercriminals-widely-abusing-excel-40.html

及時掌握網絡安全態勢 盡在傻蛋網絡安全監測系統

【網絡安全監管部門】免費試用

本文來源:thehackernews

如涉及侵權，請及時與我們聯系，我們會在第一時間刪除或處理侵權內容。
電話：400-869-9193 負責人：張明