Kötü amaçlı yazılım grubu;  Düşük tanımlama oranı ve güvenlik sistemlerini dolaşma olasılığı yüksek olan zararlı Excel kayıtları yaptı.  Toplananlar, yaptığı zararlı Excel belgeleriyle dünyanın dört bir yanındaki kuruluşlara saldırdı.

 Programcıların sistemlere girmek için kullandıkları teknikler ara sıra gerçekten kafa karıştırıcı olabilir.  Bir kez daha, bu harika stratejilerden biri bulundu.  Bir kötü amaçlı yazılım grubu, kötü niyetli Excel belgeleri yaptı.  Yapılan bu belgelerin kimlik belirleme hızı çok düşük olmakla birlikte, güvenlik sistemlerini atlatma hızı da ayrıca yüksektir.

 NVISO Lab’da güvenlik bilimcileri tarafından bulunan Epic Manchego adlı bu kötü amaçlı yazılım grubu, Haziran ayından bu yana dinamik ve kötü niyetli Excel’nin kayıtları içeren iletilerle dünyanın dört bir yanındaki kuruluşlara odaklanıyor.  NVISO tarafından yapılan duyuruya göre, bunlar standart Excel elektronik tabloları değildir.  Bu kötü niyetli Excel’nin belgeleri güvenlik tarayıcılarından kaçabilir.

Zararlı Excel Dosyaları

NVISO Lab tarafından belirtildiği gibi, güvenlik tarayıcılarından kaçabilecekleri açıklama, standart Microsoft Office programlamasıyla değil, EPPlus adlı .NET kütüphanesiyle ile biriktirilmeleridir.  Bu kütüphaneyle, çok sayıda düzenleme ve hatta arka planda Excel 2019 tabloları yapmak için kullanılabilir. NVISO, Epic Manchego tarafından yapılan Office Open XML (OOXML) tablolarında, yalnızca Microsoft Office’te toplanan Excel raporları için erişilebilen birikmiş VBA kodunun olduğunu söyledi. Programlama hariçtir.

 Bu toplu VBA kodu, saldırganın intikam kodunun yaşadığı yerdir.  NVISO, Epic Manchego’nun zararlı kodunu kodlanmış benzersiz bir VBA tasarımında sakladığını, böylece güvenlik çerçevelerinden ve bilim adamlarının içeriği incelemekten kaçabileceğini belirtiyor.  Ayrıca, bu haklı Excel’nin arşivlerini yapmak için alternatif bir teknik kullanılsa da, EPPlus tabanlı tablolar herhangi bir Excel raporu gibi çalışır.

Kötü huylu arşivler kötü niyetli büyük ölçekli kodlar içerir.  Excel’nin belgesini açan istemcinin yetkilendirme değiştir düğmesine dokunması durumunda, bu tam ölçekli kodlar kötü amaçlı yazılımı indirir ve kazazedenin bilgisayarına sunar.  Sonunda, Truva atı enfeksiyonlarını alan veriler, örneğin Azorult, AgentTesla, Formbook, Matiex ve njRat, müşterinin programlarını, mesajlarını ve FTP taleplerini Epic Machengo’nun çalışanlarına gönderir.

 İlk avantajlarda Epic Manchego’nun zararlı Excel belgeleri yapmak için EPPlus’ı kullanırken, aynı şekilde uzun vadede toplanmayı etkisiz hale getirir.  Epic Manchego’nun önceki etkinlikleri, özel Excel belgelerini filtreleyerek izlenebilir.  NVISO da aynı şekilde bu strateji ile Epic Manchego grubuyla ilgili 200’den fazla zararlı Excel kaydı tespit etti.  Bu belgelerden ilkinin 22 Haziran tarihli olduğu tespit edildi.  NVISO, toplantının bu stratejiye dahil olduğunu ve hem saldırılarını hem de ana saldırıdan sonra saldırılarının öngörülemezliğini genişlettiğini belirtti.  Ayrıca, bu saldırıların daha sonra daha geniş bir kullanım alanı bulabileceğini ifade etti.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir