Un grupo de malware; creó archivos de Excel maliciosos con una baja tasa de detección y una alta probabilidad de eludir los sistemas de seguridad. El grupo atacó a muchas empresas de todo el mundo con los archivos de Excel maliciosos que creó.
Los métodos que usan los hackers para entrar en los sistemas a veces pueden ser realmente sorprendentes. Una vez más, se ha descubierto uno nuevo de estos sorprendentes métodos. Un grupo de malware archivos maliciosos de Excel creado. Si bien la tasa de detección de estos archivos creados es bastante baja, la tasa de evasión de los sistemas de seguridad es igual de alta.
Descubierto por investigadores de seguridad en NVISO Lab Manchego épico Desde junio, este grupo de malware se ha dirigido a empresas de todo el mundo con correos electrónicos que contienen archivos de Excel activos y maliciosos. Según la declaración hecha por NVISO, estas no son hojas de cálculo de Excel estándar. Estos archivos de Excel maliciosos pueden eludir los escáneres de seguridad.
Archivos de Excel dañinos
microsoft office excel” src=”https://www.webtekno.com/images/editor/default/0002/81/566eec3eb3103a5917a89220c8069e6838745003.jpeg” style=”ancho: 788px; altura: 443px;” />
Según NVISO Lab, la razón por la que pueden eludir los escáneres de seguridad es porque el estándar oficina de microsoft no con su software EPPlus Compilándolos con la librería .NET llamada .NET. Esta biblioteca se puede usar para crear tablas en muchos formatos e incluso es compatible con Excel 2019. NVISO dijo que las tablas de Office Open XML (OOXML) creadas por Epic Manchego no incluyen el código VBA compilado que se encuentra específicamente para los documentos de Excel compilados en el software de Microsoft Office.
Este código VBA compilado es a menudo donde reside el código malicioso del atacante. NVISO afirma que Epic Manchego almacena código malicioso en un formato VBA patentado, que está encriptadoDe esta forma, afirma que puede eludir los sistemas de seguridad y los investigadores que analizan el contenido. Además, aunque se utiliza un método diferente para crear estos documentos de Excel maliciosos, las tablas basadas en EPPlus funcionan como cualquier documento de Excel.
Los documentos maliciosos contienen códigos de macro maliciosos. Si el usuario que abre el archivo de Excel hace clic en el botón habilitar edición, estos códigos de macro descargan e instalan el malware en la computadora de la víctima. Por último, los ladrones de información como Azorult, AgentTesla, Formbook, Matiex y njRat virus caballo de Troya envía los navegadores, correos electrónicos y solicitudes de FTP de los usuarios a los servidores de Epic Machengo.
Si bien el uso de EPPlus para crear archivos de Excel maliciosos inicialmente beneficia a Epic Manchego, también funciona en contra del grupo a largo plazo. Las operaciones pasadas de Epic Manchego se pueden rastrear escaneando extraños archivos de Excel. NVISO también colaboró con el grupo Epic Manchego con este método. Más de 200 archivos de Excel maliciosos asociados Ha detectado. Se descubrió que el primero de estos archivos estaba fechado el 22 de junio.
NVISO afirma que el grupo ha adquirido experiencia en esta técnica y que tras el primer ataque, tanto sus ataques como complejidad de los ataques. afirmó que han aumentado También afirmó que estos ataques pueden encontrar un uso más amplio en el futuro.
Fuente: https://www.zdnet.com/article/malware-gang-uses-net-library-to-generate-excel-docs-that-bypass-security-checks/
