ГлавнаябезопасностьИспользуйте библиотеку .NET для создания вредоносных файлов Excel, которые невозможно обнаружить.

Используйте библиотеку .NET для создания вредоносных файлов Excel, которые невозможно обнаружить.

Хакеры используют Библиотека .NET создать вредоносные документы Excel где обходные системы безопасность.

Excel

Новая банда, раздающая вредоносных программ, использует хитроумный трюк для создания вредоносные файлы Excel с более низким уровнем обнаружения и более высокими шансами на обход системы безопасность.

Команда была недавно обнаружена исследователями безопасности. NVISO Labs, кто назвал это Эпическое Манчего. Οι Хакеры активны с июня, стремясь компании по всему миру с фишинг электронные письма, содержащие вредоносный документ Excel.

Но NVISO заявила, что это не типичные таблицы Excel. Вредоносные файлы могут обойти сканеры безопасность и имели низкие показатели обнаружения.

Вредоносные файлы Excel благодаря EPPlus

Согласно NVISO, эти особенности связаны с тем, что документы были созданы не с помощью стандартного программного обеспечения. Microsoft Офис, но с одним Библиотека .NET названный EPPlus.

Разработчики обычно используют эту библиотеку для добавления функций «Экспорт в Excel» или «Сохранить как электронную таблицу». Библиотека может использоваться для создания файлов в широком спектре форматов электронных таблиц и даже поддерживает Excel 2019.

NVISO сообщает, что банда Epic Manchego использовала .NET-библиотеку EPPlus для создания файлов форматирования. Office Open XML (OOXML).

Созданные ими файлы OOXML Хакеры Эпического Манчего в документах Excel не найден фрагмент кода создан с помощью стандартного программного обеспечения Microsoft Office.

Некоторые антивирусные продукты и сканеры e-mail специально ищите этот раздел кода (VBA), чтобы найти возможные ключи к вредоносным документам Excel. Следовательно, Отсутствие этого кода может быть причиной более низких показателей обнаружения этих документов Excel. по сравнению с другими вредоносными архив.

В этой части кода обычно хранится вредоносный код злоумышленника. Однако это не означает, что документы Excel Хакеры это было чисто. NVISO говорит, что Epic Manchego просто хранит вредоносный код в специальном формате кода VBA, который защищен паролем доступ чтобы системы безопасности и исследователи не могли анализировать его содержимое.

Однако, несмотря на использование другого метода для создания вредоносных документов Excel, файлы на основе EPPlus по-прежнему работают как любой другой документ Excel.

Οι хакеры распространяют вредоносные документы Excel с июня

Вредоносные документы Excel по-прежнему содержат вредоносные сценарии. Открытие файлов позволило запустить сценарий (нажав кнопку «Разрешить редактирование»), что, в свою очередь, позволило запускать макросы. загружать и устанавливать вредоносное ПО в системы жертвы.

Финальные полезные нагрузки были классическими троян для кражи данных такие как Азорулт, агент Тесла, Formbook, Matiex и njRat, который украл пароли из браузеров, электронной почты и FTP-клиентов пользователя и отправил их на серверы хакеров.

Хотя решение использовать .NET-библиотеку EPPlus для создания вредоносных файлов Excel вначале могло иметь некоторые преимущества, в конечном итоге оно им навредило. Хакеры, поскольку это позволило команде NVISO легко найти все свои предыдущие функции путем поиска странных документов Excel.

В конце концов, NVISO заявила, что выяснила более 200 вредоносных архив Excel связан с хакерами Epic Manchego, первый из которых датируется 22 июня.

Библиотека .NET

NVISO заявляет, что команда, похоже, экспериментирует с этой техникой и последними нападки их больше и сложнее, чем первых. Следовательно, эта хакерская кампания может беспокоить нас и в будущем.

Однако выбор библиотеки .NET EPPlus не удивил исследователей. "Мы знакомы с этой .NET-библиотекой, так как уже несколько лет используем ее для создания вредоносных документов («maldocs») для нашей «красной команды» и наших тестеров на проникновение.", - заявила компания.

Подробнее об этих хакерах и нападки Вы можете найти их на отчет NVISO Labs.

Цифровая Крепостьhttps://www.secnews.gr
Осуществляйте свои мечты и живите!
spot_img

ЖИВЫЕ НОВОСТИ