一项新的研究表明,黑客越来越多地采用Excel 4.0文档作为传播ZLoader和Quakbot等恶意软件的初始载体。
(图片来源:thehackernews)
调查结果来自2020年11月至2021年3月期间对16万份Excel 4.0文档的分析,其中超过90%被归类为恶意或可疑文档。
ReversingLabs的研究人员在4月28号发表的一份报告中表示:“针对目标公司和个人而言,最大的威胁是现有的安全解决方案在检测恶意Excel 4.0文档时,仍然存在很多问题。这些问题大部分是由传统的基于签名的检测和YARA规则造成的。”
(图片来源:thehackernews)
Excel 4.0宏(XLM)是Visual Basic for Applications(VBA)的前身,由于向后兼容的原因,它是Microsoft Excel中的一项旧功能。Microsoft在其支持文档中警告说,启用所有宏可能会导致运行“潜在危险的代码”。
(图片来源:thehackernews)
自2007年被发现以来,不断发展的Quakbot(又名QBOT)一直是臭名昭著的银行木马,能够窃取银行凭证和其他金融信息,同时还具有蠕虫般的传播功能。QakBot的变体通常是通过武器化的Office文档进行传播的,能够为其他恶意软件提供有效载荷,记录用户击键,甚至为受感染机器创建后门。
在ReversingLabs分析的文档中,该恶意软件不仅用具有可信任的诱饵诱骗用户启用宏,而且还附带了包含XLM宏的嵌入式文件,这些文件下载并执行从远程服务器获取的恶意第二阶段有效负载。另一个示例在其中一张工作表中包含Base64编码的有效负载,然后尝试从不安全的URL下载其他恶意软件。
研究人员指出:“即使向后兼容非常重要,但某些东西应该具有预期寿命。并且从安全角度来看,使用这种过时的技术带来的安全风险约等于维护30年旧版宏的成本。”
题图来源:https://thehackernews.com/2021/04/cybercriminals-widely-abusing-excel-40.html
及时掌握网络安全态势 尽在傻蛋网络安全监测系统
本文来源:thehackernews
如涉及侵权,请及时与我们联系,我们会在第一时间删除或处理侵权内容。
电话:400-869-9193 负责人:张明
工商执照