详细内容或原文请订阅后点击阅览
Epic Manchego – 非典型恶意文档传递带来大量信息窃取者
2020 年 7 月,NVISO 检测到一组恶意 Excel 文档,也称为“maldocs”,它们通过 VBA 激活的电子表格传递恶意软件。虽然恶意 VBA 代码和丢弃的有效载荷是我们以前见过的,但 Excel 文档本身的具体创建方式引起了我们的注意。创作者……继续阅读 Epic Manchego – 非典型 maldoc 传递带来大量信息窃取者 →
来源:NVISO Labs _恶意软件2020 年 7 月,NVISO 检测到一组恶意 Excel 文档(也称为“恶意文档”),这些文档通过 VBA 激活的电子表格传播恶意软件。虽然我们以前见过恶意 VBA 代码和投放的有效载荷,但 Excel 文档本身的创建方式引起了我们的注意。
恶意 Excel 文档的创建者使用了一种技术,使他们无需实际使用 Microsoft Office 即可创建包含宏的 Excel 工作簿。作为这种特殊工作方式的副作用,这些文档的检测率通常低于标准恶意文档。
这篇博文概述了这些恶意文档是如何产生的。此外,它简要描述了观察到的有效载荷,最后以建议和入侵指标结束,以帮助您的组织免受此类攻击。
主要发现(TL;DR)
- 恶意 Microsoft Office 文档是使用 EPPlus 软件而不是 Microsoft Office Excel 创建的,这些文档可能因为与典型的 Excel 文档不同而未被发现;NVISO 以中等信心评估此活动是由单个威胁行为者发起的,这是基于上传到 VirusTotal 等服务的文档数量有限,以及整个活动期间有效载荷传递的相似性;截至本文发布之日,已观察到的有效载荷大部分是所谓的信息窃取者,目的是从浏览器、电子邮件客户端等窃取密码;源自这些文档的有效载荷在混淆和伪装方面仅略有发展。这再次表明单个行为者正在慢慢发展其技术实力。