信息來源:Freebuf
根據(jù)最新研究,黑客們越來越多地使用Excel 4.0文件作為初始載體來傳播ZLoader和Quakbot等惡意軟件。
上述發(fā)現(xiàn)是通過對2020年11月至2021年3月期間16萬份Excel 4.0文件進(jìn)行分析而來,其中90%以上被歸類為惡意或可疑文件。
ReversingLabs的研究人員在4月28日發(fā)布的一份報告中表示,對于被當(dāng)作目標(biāo)的企業(yè)和個人來說,最大的威脅是用來檢測惡意Excel 4.0文件的安全解決方案仍然存在很多問題,這讓許多惡意Excel文件在傳統(tǒng)的基于簽名的檢測以及YARA規(guī)則中溜走。
通過Excel被傳播的Quakbot(又名QBOT)木馬,能夠竊取銀行憑證和其他金融信息。并且,該木馬還擁有類似蠕蟲病毒的傳播特性,通常通過武器化的Office文檔進(jìn)行傳播,是一個臭名昭著的銀行木馬。
而QakBot的變種則變本加厲,擁有更多功能。其變種目前已經(jīng)能夠傳播其他惡意軟件的有效載荷、記錄用戶的擊鍵,甚至能夠在目標(biāo)設(shè)備上創(chuàng)建一個后門。
在ReversingLabs的分析報告中,該惡意軟件不僅用十分可信的誘餌誘騙用戶啟用宏,并且還附帶了一個含XLM宏的嵌入式文件。該文件能夠下載并執(zhí)行從遠(yuǎn)程服務(wù)器檢索而來的惡意第二階段有效載荷。
另有一個樣本內(nèi)包含了一個Base64編碼的有效載荷,其試圖從一個簡略的URL下載其他惡意軟件。
Excel 4.0宏(XLM)是Visual Basic for Applications(VBA)的前身,是出于向下兼容的需求而被納入Microsoft Excel的一個遺留功能。微軟在其支持文件中也曾警告,如果啟用所有的宏將會導(dǎo)致 "潛在危險代碼 "的運(yùn)行。
對此,研究人員指出,盡管向下兼容非常重要,但從安全的角度來看,維護(hù)30年前的宏會帶來重大的安全風(fēng)險。這些宏應(yīng)該有一個預(yù)期壽命,在某個合適的時間點(diǎn)被廢棄可能才是最好的解決方案。